The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обновление Chrome 23.0.1271.97 с устранением критической уяз..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Chrome 23.0.1271.97 с устранением критической уяз..."  +/
Сообщение от opennews (ok) on 12-Дек-12, 12:54 
Компания Google представила (http://googlechromereleases.blogspot.ru/2012/12/stable-chann...) корректирующий выпуск web-браузера Chrome 23.0.1271.97, в котором устранено 6 уязвимостей и представлена порция исправлений ошибок. Одной из уязвимостей присвоен статус критической проблемы, позволяющей обойти все уровни защиты браузера. Критическая проблема (CVE-2012-5142) выявлена сотрудниками Google и проявляется в выходе за границы буфера при выполнении операций по работе с историей посещений.


Три уязвимости отнесены к категории опасных проблем: две уязвимости вызваны обращением к области памяти после её освобождения и одна проблема связана с повреждением стека при декодировании специально оформленного контента в формате AAC. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила исследователям безопасности 4500 долларов (по одной премии, размером 2000$, 1500$ и 1000$).


Из не связанных с безопасностью проблем отмечается устранение ошибки с обрезанием краёв текста во всплывающем диалоге с настройками сайта. На платформе Linux устранены проблемы отображения текста в секциях input для некоторых web-приложений, что приводило к  показу выделенного контента белым цветом на белом фоне. Решены проблемы с нарушением работоспособности некоторых плагинов. Устранены проблемы, специфичные для платформы Windows 8. В новой версии Chrome также произведелно обновление версии поставляемого в составе браузера плагина Adobe Flash, в котором  проведена (http://helpx.adobe.com/en/flash-player/release-note/fp_115_a...) работа над ошибками.


Кроме того, можно отметить возникновение в понедельник интересного
эффекта (http://www.h-online.com/open/news/item/Cloud-synchronisation...), который привёл к массовым крахам браузера Chrome при выполнении попытки синхронизации данных. Причиной проблемы стало изменение (https://code.google.com/p/chromium/issues/detail?id=165171#c27) конфигурации балансировщика нагрузки, что привело к выходу из строя ряда компонентов инфраструктуры Google (например, наблюдалась неработоспособность Gmail). В качестве реакции система защиты от сбоев в процессе сеанса синхронизации задала в том числе и новые параметры квот для использования на стороне клиента. Подобные квоты выставляются в привязке к типу синхронизируемых данных, но в данном случае была выбрана опция использования квоты для всех типов сразу, что было некорректно разобрано браузером и привело к его краху.


URL: http://googlechromereleases.blogspot.ru/2012/12/stable-chann...
Новость: http://www.opennet.dev/opennews/art.shtml?num=35575

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление Chrome 23.0.1271.97 с устранением критической уяз..."  +1 +/
Сообщение от pavlinux (ok) on 12-Дек-12, 12:54 
> задала в том числе и новые параметры квот для использования на стороне клиента.

А им кто-то разрешал, рулить параметрами на моём компе?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Обновление Chrome 23.0.1271.97 с устранением критической уяз..."  +/
Сообщение от Аноним (??) on 12-Дек-12, 18:54 
> А им кто-то разрешал, рулить параметрами на моём компе?

Корпорация добра лучше знает что тебе нужно. А кто не согласен - ну ты в курсе, да?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

25. "Обновление Chrome 23.0.1271.97 с устранением критической уяз..."  +/
Сообщение от followme (ok) on 16-Дек-12, 16:20 
Вы разрешали. Или вы пользовательское соглашение приняли не читая ?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Обновление Chrome 23.0.1271.97 с устранением критической уяз..."  +/
Сообщение от flvby1 on 12-Дек-12, 13:52 
кто-нибудь в курсе, попадают ли такие исправления в chromium?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Обновление Chrome 23.0.1271.97 с устранением критической уяз..."  +/
Сообщение от demimurych email(ok) on 12-Дек-12, 14:01 
Все что касается web kit в обязательно порядке.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Обновление Chrome 23.0.1271.97 с устранением критической уяз..."  +1 +/
Сообщение от Аноним (??) on 12-Дек-12, 14:35 
что-то не слышно про тюменца - "спеца" по уязвимостям хрома
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Обновление Chrome 23.0.1271.97 с устранением критической уяз..."  +2 +/
Сообщение от Deluxe (??) on 12-Дек-12, 17:48 
> В новой версии Chrome также произведелно обновление версии поставляемого в составе браузера плагина Adobe Flash, в котором проведена работа над ошибками.

Это сизифов труд, потому что ошибки в Adobe Flash не закончатся никогда. Когда одна исправляется, на её месте появляются три новые, подобно тому как у гидры вместо отрубленной головы вырастают три.

Почему так? Предположим, разработчики сделали допиленный продукт. Отшлифовали, отполировали. Что дальше? Разрабочики больше не нужны.

А вот если продукт сырой, глючный, состоящий из ошибок, то разработчики продолжают получать зарплату, исправляют ошибки и уязвимости. Но не все сразу, а порциями, чтобы продержаться на плаву подольше.

Лечится очень просто: YouTube всем поголовно принудительно включает HTML5/webm и посылает Flash лесом. Хомячки, может, неделю попищат недовольно, но всё равно как миленькие скачают браузер с поддержкой HTML5.

Ну а всякие онлайн-игры на флэше и так многими здравомыслящими людьми бойкотируются.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Обновление Chrome 23.0.1271.97 с устранением критической уяз..."  –1 +/
Сообщение от Аноним email(??) on 12-Дек-12, 18:46 
Поддерживаю! Единственное что заставляет держать на компе флеш, так это вконтакте, где без флеша видео не посмотреть.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "Обновление Chrome 23.0.1271.97 с устранением критической уяз..."  +1 +/
Сообщение от Аноним (??) on 12-Дек-12, 18:55 
> Поддерживаю! Единственное что заставляет держать на компе флеш, так это вконтакте

Как по мне так лучше всего избавиться от обоих. Меньше проблем. Да и вообще, неприятно когда тобой торгуют как стеклотарой.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

24. "Обновление Chrome 23.0.1271.97 с устранением критической уяз..."  +/
Сообщение от freehck email(ok) on 13-Дек-12, 13:33 
Это еще что - там без флеша не то, что видео не посмотреть, а даже файлик другу не выслать. Я уже не говорю о загрузке фотографий.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "Обновление Chrome 23.0.1271.97 с устранением критической уяз..."  –1 +/
Сообщение от ghcgjhcg on 12-Дек-12, 19:07 
>Компания Google представила корректирующий выпуск web-браузера Chrome 23.0.1271.97, в котором устранено 6 уязвимостей и представлена порция исправлений ошибок

Это сизифов труд, потому что ошибки в Chrome не закончатся никогда. Когда одна исправляется, на её месте появляются три новые, подобно тому как у гидры вместо отрубленной головы вырастают три.

Почему так? Предположим, разработчики сделали допиленный продукт. Отшлифовали, отполировали. Что дальше? Разрабочики больше не нужны.

А вот если продукт сырой, глючный, состоящий из ошибок, то разработчики продолжают получать зарплату, исправляют ошибки и уязвимости. Но не все сразу, а порциями, чтобы продержаться на плаву подольше.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

17. "Обновление Chrome 23.0.1271.97 с устранением критической уяз..."  +1 +/
Сообщение от Michael (??) on 12-Дек-12, 19:35 
ОМФГ, я как понимаю вы никогда не работали в софтверной компании и вообще даже близко не стояли рядом с разработчиками софта?
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Обновление Chrome 23.0.1271.97 с устранением критической уяз..."  +1 +/
Сообщение от Framework (ok) on 12-Дек-12, 19:43 
Вы забываете объёмы кода этого браузера и кол-во разработчиков. Плюс сторонние компоненты, на работу которых влиять ещё сложнее.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Обновление Chrome 23.0.1271.97 с устранением критической уяз..."  +/
Сообщение от анон on 13-Дек-12, 07:05 
родовые проблемы с C/C++ дают себя знать с переполнением буфера. работой с кучен. у них же Go есть. возможно пока медленней. может D. или просто GC
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Обновление Chrome 23.0.1271.97 с устранением критической уяз..."  +/
Сообщение от медведко (ok) on 13-Дек-12, 07:21 
Не хочу показаться троллем, но я шоке с Убунты. Она уже превратилась в винду с обновлениями через полгода после обнаружения дырок. До сих пор 22-я версия хромиума и никаких телодвижений. Хотя, дже репка proposed стоит (и security, разумеется).

Домашний комп перетащил на Арч, там Хромиум обновился в тот же день. Но rolling release для рабочих компов - не торт :(

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Обновление Chrome 23.0.1271.97 с устранением критической уяз..."  +/
Сообщение от taaroa (ok) on 13-Дек-12, 07:43 
> Не хочу показаться троллем, но я шоке с Убунты. Она уже превратилась в винду с обновлениями через полгода после обнаружения дырок. До сих пор 22-я версия хромиума и никаких телодвижений

Thanks for taking the time to report this bug and helping to make Ubuntu better. Since the package referred to in this bug is in universe or multiverse, it is community maintained. If you are able, I suggest coordinating with upstream and posting a debdiff for this issue. When a debdiff is available, members of the security team will review it and publish the package. See the following link for more information: https://wiki.ubuntu.com/SecurityTeam/UpdateProcedures

© Ubuntu Security Team

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "Обновление Chrome 23.0.1271.97 с устранением критической уяз..."  +/
Сообщение от медведко (ok) on 13-Дек-12, 08:48 
Это геморный и долгий процесс, который нельзя автоматизировать. Т.е. постоянно что-то надо ручками делать не только maintainer-ам, но и добровольцам. Вывод: в консерватории не всё в
порядке.

Тот же Alex Shkop зачем-то придумал свою репку (ppa:a-v-shkop/chromium), а не коммитить debdiff-ы. О чём-то говорит.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру