The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  +/
Сообщение от opennews (??) on 11-Авг-11, 17:21 
В очередном обновлении Adobe Flash 10.3.183.5 (http://get.adobe.com/flashplayer/) было официально устранено 13 уязвимостей (http://www.adobe.com/support/security/bulletins/apsb11-21.html), 12 из которых имеют характер критических проблем и позволяют организовать выполнение кода при открытии пользователем определенного Flash-контента.


По данным (http://news.hitb.org/content/tavis-ormandy-and-adobe-squabbl...) одного из работников Google, на самом деле в новой версии было исправлено около
400
  (четырёхсот (https://twitter.com/#!/taviso/status/101046246277521409)) разных уязвимостей. Данные уязвимости были выявлены в процессе проведения внутреннего аудита кода, проведенного при участии компании Google, поставляющей Flash-плагин в составе браузера Chrome. Так как информация о данных проблемах не вышла за стены компании, Adobe решила не пугать пользователей и умолчать о дополнительно внесенных исправлениях.

URL: http://news.hitb.org/content/tavis-ormandy-and-adobe-squabbl...
Новость: http://www.opennet.dev/opennews/art.shtml?num=31459

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


7. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  +4 +/
Сообщение от Аноним (??) on 11-Авг-11, 17:33 
Как раз отел написать: что-то Google давноо не пиарился по поводу того, как они в очередной раз удачно дизассемблировали код Flash Player для своего Chrome.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  +/
Сообщение от 82500 on 11-Авг-11, 17:37 
У них ведь сорсы есть
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

14. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  +/
Сообщение от Аноним (??) on 11-Авг-11, 17:54 
Они наработки в Адоб отправляют или как? И в чём профит Гуглу их отправлять обратно?
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

27. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  +4 +/
Сообщение от Аноним (??) on 11-Авг-11, 18:32 
Гугл не работает над самим флеш-плеером. Дыры латает сам адоб и отсылает гуглу, пока все остальные ждут релиза.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

15. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  –5 +/
Сообщение от gegMOPO4 (ok) on 11-Авг-11, 17:55 
Каждую изменённую строчку посчитали за отдельную исправленную уязвимость? Хорошо поработали, советские приписчики только облизываются.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

59. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  +1 +/
Сообщение от Аноним (??) on 13-Авг-11, 09:36 
Вы знаете как работали советские приписчики?
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

16. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  +1 +/
Сообщение от анонимЪ on 11-Авг-11, 17:58 
то есть гугл теперь ещё за своё счёт латает Adobe'вский Flash?

зачем гугл вообще связался с этим убожеством и засунул в свой броузер?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  +10 +/
Сообщение от Xasd (ok) on 11-Авг-11, 18:24 
сегодня гугл бесплатно исправляет уязвимости в Flash... ...и устанавливает Flash поумолчанию в свои браузеры

(давая Хомячкам понять будтобы:
"вот он браузер! вы его запускаете и он просто работает... без всяких дополнительных доустановок различных компонентов для просмотра Video и Web-Игрушек!")

......а после-завтра -- Google просто возмёт выкинет Flash Player из Google Chrome и привыкшие к "всё-просто-работает!-без-дополнительных-доустановок" пользователи -- будут окончательно переведены на HTML5

это ведь генеально! двух-шаговоние отучивание от Flash! :-D

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

25. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  +/
Сообщение от Аноним (??) on 11-Авг-11, 18:25 
> сегодня гугл бесплатно исправляет уязвимости в Flash... ...и устанавливает Flash поумолчанию
> в свои браузеры

... попутно активно пиляя HTML 5, т.к. видимо качество кода от адобы их не радует ;).

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

51. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  +/
Сообщение от Crazy Alex (ok) on 11-Авг-11, 23:35 
Адоба и сама его активно пилит, кстати
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

64. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  +/
Сообщение от Аноним (??) on 13-Авг-11, 23:32 
> Адоба и сама его активно пилит, кстати

HTML5? Ну спасибо тогда адобе за копание своей могилы :)


Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

66. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  +/
Сообщение от Lain_13 email on 14-Авг-11, 12:00 
У меня давное есть впечатление, что Адоби сами уже не рады, что ввязались в эту авантюру с анимацией в вэбе. В принципе она приносила профит в начале на продажах редактора, но сейчас? У них есть прекрасный набор инструментов для обработки изображений и подготовки их в печать. Они на нём проживут ещё чёрт знает сколько лет (особенно благодяра нерасторопности развития GIMP). Зачем им флэш? А вот же ж, дырки в нём теперь только латай и латай… А надо ещё и обратную совместимость сохранять!
А о качестве кода плеера можно судить, например, по тому, что в нём краши можно свободно находить банальным перебором каждого байта в каком-нибудь флэш-ролике. А overflow-краши в руках специалиста часто превращаются в полноценные уязвимости.
Хорошо хоть Гуголь им напинать решил для расторопности, хоть от какой-то части потенциальных 0-day избавились.
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

26. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  +/
Сообщение от Аноним (??) on 11-Авг-11, 18:27 
Это хорошая реклама их браузера.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

29. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  +/
Сообщение от Аноним (??) on 11-Авг-11, 18:38 
За тем же, зачем он вообще сделал браузер.

Прямого дохода с хрома он не имеет, весь смысл в удобном(для пользователей) и гибком(для гугла) клиенте для его веб-сервисов. Удобнее хром => больше лояльных пользователей.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

69. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  +/
Сообщение от Anomymouse on 15-Авг-11, 18:36 
Уже имеет - с ХромОС.

Еще более удобная для неискушенного пользователя штука, чем "мак", только значительно дешевле.

Все работает "из коробки", установки софта не требует, постоянного коннекта в интернет не требует - что еще нужно для "классников"/юпорна?

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

37. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  –1 +/
Сообщение от ДФ (ok) on 11-Авг-11, 19:32 
Лучше бы Гугл пилил свободные Lightspark или Gnash, а не продукты конкурентов.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  –2 +/
Сообщение от Xasd (ok) on 11-Авг-11, 20:15 
а толку от этих "Lightspark или Gnash" ? тратить на них силы....

...как их можно будет применять в будущем? (в будущем которое без Flash?)

уже даже Adobe начинает понимать что Flash это временное являение -- продмывая свои новые редакторы в HTML5-ориентированном-виде

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

40. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  +2 +/
Сообщение от Stax (ok) on 11-Авг-11, 20:16 
А где 64-х битная версия? С устранением уязвимостей?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  +8 +/
Сообщение от scor email(ok) on 11-Авг-11, 20:32 
Её устранили.:) Т.е. при устранении всех уязвимостей в версии для x64 полезного кода не осталось вовсе.:)
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

42. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  +/
Сообщение от bugmenot (ok) on 11-Авг-11, 20:36 
64-битная версия теперь - 11 beta. Здесь речь про 10.
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

53. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  +/
Сообщение от Stax (ok) on 11-Авг-11, 23:57 
Да без разницы, 11 или 10, бета или нет. Уязвимости-то там не пофикшены до сих пор? Тогда как использовать?
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

43. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  +/
Сообщение от Maresias (ok) on 11-Авг-11, 22:03 
Хотите поржать? :)

Идём на http://get.adobe.com/flashplayer/, качаем, отправляем на VirusTotal.com...

Упс!!! TrojWare.Win32.Trojan.Agent.Gen

http://www.virustotal.com/file-scan/report.html?id=25fd949e8...

Молодец, Адобе, так держать!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  +2 +/
Сообщение от Карбофос (ok) on 11-Авг-11, 22:11 
ложное срабатывание, ибо только один засветился
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

47. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  –2 +/
Сообщение от Maresias (ok) on 11-Авг-11, 22:32 
> ложное срабатывание, ибо только один засветился

Comodo - хороший, годный антивирус.

Раньше других сигнатуру в базы добавил.

Так или иначе, что бы Адобе ни делали, у них всегда малварь получается.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

49. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  +/
Сообщение от Карбофос (ok) on 11-Авг-11, 22:53 
тем не менее, ложные срабатывания случаются довольно часто на всякого рода инсталлерах. в незапамятные времена писал я программку на виндах, которая использовала недокументированные функции, присутствие оных расценивалось несколькими антивирусами очень даже неадекватно. хотя никакого трояна, или кусочков вируса там в помине не было
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

65. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  +/
Сообщение от anonymous (??) on 13-Авг-11, 23:35 
Сигнатуры порой делают достаточно криворукие люди, неоднократно натыкался на ложные срабатывания в случае если некий продукт юзает определенные оупенсорс решения, так же используемые малварь-писателями.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

48. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  +/
Сообщение от Заоза on 11-Авг-11, 22:33 
было исправлено около 400 (четырёхсот) разных уязвимостей. Спасибо кэп, а за всю историю существования флеша было исправлено over9000, такое ощущение, что не Адоб, разработала флеш, а сам гугл, причем он так тщательно старается, вылизать его до идеала, что даже сама Адоб тупо не в силах, что либо сделать. Благо фотошоп они не забыли, а то бы уж другой, кто нибудь да прибрал бы его к рукам своим.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

52. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  +1 +/
Сообщение от Аноним (??) on 11-Авг-11, 23:57 
Гуглю нужен безопасный, простой и открытый для пользователя интернет. На этом строится их бизнес. Их браузер вроде как самый безопасный и оставлять дыры в виде флешплеера они не хотят. Правильно и делают.

ПС:Так это же хорошо. Исправление тысячи уязвимостей было бы еще лучше.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

54. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  +/
Сообщение от umbr (ok) on 12-Авг-11, 02:20 
>внутреннего аудита кода, проведенного силами компании Google

Не пойму, это Adobe Flash или Google Flash? :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

55. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  +/
Сообщение от AKR (ok) on 12-Авг-11, 07:36 
Это Google Adobe.
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

56. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  –1 +/
Сообщение от Аноним (??) on 12-Авг-11, 07:56 
А когдав репозитариях дистрибутивов появится новая версия плагина с исправленными уязвимостями? Или руками качать и ставить?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

58. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  +/
Сообщение от vayerx (ok) on 12-Авг-11, 14:31 
интересно, в 11ой версии столько же уязвимостей?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

61. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  +/
Сообщение от Карбофос (ok) on 13-Авг-11, 18:05 
скорее всего, можно провести вектор от 8й версии к 10й, тогда может прорисоваться качество кода в 11й... это предположение, конечно же, не учитывающее пафосные заявления адобе о "большой переработке кода"
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

60. "В Adobe Flash 10.3.183.5 устранено 400 уязвимостей ?"  +1 +/
Сообщение от solardiz (ok) on 13-Авг-11, 17:43 
Дополнительная информация от ребят из Google:

http://googleonlinesecurity.blogspot.com/2011/08/fuzzing-at-...

и от Adobe:

http://blogs.adobe.com/asset/2011/08/how-did-you-get-to-that...

со ссылками друг на друга и всяческим уважением.

Google:

"... 20 terabytes of SWF file downloads followed by 1 week of run time on 2,000 CPU cores to calculate the minimal set of about 20,000 files. Finally, those same 2,000 cores plus 3 more weeks of runtime were put to good work mutating the files in the minimal set (bitflipping, etc.) and generating crash cases. These crash cases included an interesting range of vulnerability categories, including buffer overflows, integer overflows, use-after-frees and object type confusions."

Adobe:

"We didn’t allocate any CVEs because we viewed this testing as part of the SPLC that spans the joint engineering efforts with the Google Chrome team. This led to some confusion since the Google security team has a different approach to CVE allocation.

The initial run of the ongoing effort resulted in about 400 unique crash signatures, which were logged as 106 individual security bugs following the initial triage. As these bugs were resolved, many were identified as duplicates that weren’t caught during the initial triage. In the final analysis, the Flash Player update we shipped earlier this week contains about 80 code changes to fix these bugs."

Google:

"Commandeering massive resource to improve security is rewarding on its own, but the real highlight of this exercise has been Adobe’s response. The Flash patch earlier this week fixes these bugs and incorporates UIPI protections for the Flash Player sandbox in Chrome which Justin Schuh contributed assistance on developing. Fixing so many issues in such a short time frame shows a real commitment to security from Adobe, for which we are grateful."

Adobe:

"What’s most important is that industry partners like Google and Adobe are working together on projects like this to protect our mutual customers. Adobe greatly appreciates the assistance of the Google Chrome team on this and other projects that are part of our cooperation."

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

62. "В Adobe Flash 10.3.183.5 устранено 400 потенциальных уязвимо..."  +/
Сообщение от Аноним (??) on 13-Авг-11, 22:52 
400 устранено. 900 осталось. 200 добавят индусы из Адоба в следующем релизе.
Арифметика от Адобе.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

63. "В Adobe Flash 10.3.183.5 устранено 400 потенциальных уязвимо..."  –1 +/
Сообщение от Карбофос (ok) on 13-Авг-11, 23:14 
фаззингом бомбили
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

67. "В Adobe Flash 10.3.183.5 устранено 400 потенциальных уязвимо..."  +/
Сообщение от Lain_13 email on 14-Авг-11, 13:30 
> фаззингом бомбили

Далеко не простым банальным физзингом, но таки да.
Их физзинг может проходить crc-проверки, например, генерируя блоки с корректной чексуммой ни чего не зная о протоколе, а просто пытаясь достичь нужных блоков кода в проверямой программе.

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

68. "В Adobe Flash 10.3.183.5 устранено 400 потенциальных уязвимо..."  +/
Сообщение от Карбофос (ok) on 14-Авг-11, 22:46 
интересно, что будет след. объектом исследования?
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру