The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

11.08.2011 17:08  В Adobe Flash 10.3.183.5 устранено 400 потенциальных уязвимостей (дополнено)

В очередном обновлении Adobe Flash 10.3.183.5 было официально устранено 13 уязвимостей, 12 из которых имеют характер критических проблем и позволяют организовать выполнение кода при открытии пользователем определенного Flash-контента.

По данным одного из работников Google, на самом деле в новой версии было исправлено около 400 (четырёхсот) потенциальных уязвимостей. Данные уязвимости были выявлены в процессе проведения внутреннего аудита кода, проведенного силами компании Google, поставляющей Flash-плагин в составе браузера Chrome. Так как информация о данных проблемах не вышла за стены компании, Adobe решила не пугать пользователей и умолчать о дополнительно внесенных исправлениях.

Дополнение:

В блогах компаний Google и Adobe опубликованы подробности. Для выявления ошибок в Google было организовано грандиозное тестирование, было отобрано около 20 тысяч SWF-файлов, которые в течение нескольких недель обкатывались на Flash-плеере в кластере из 2000 CPU. Участвующие в тестировании файлы определенным образом изменялись, создавая нештатные ситуации для проявления ошибок. В итоге были выявлены сотни потенциальных уязвимостей, вызванных выходом за границы буфера, целочисленными переполнениями, использованием памяти после освобождения и т.п.

Всего было выявлено 400 уникальных сигнатур, приводящие к краху Flash-плеера. На основе изучения данных сигнатур в коде было выявлено 106 ошибок, приводящих к проблемам безопасности. Для исправления данных ошибок, с учетом дублирования проблем, в код потребовалось внести 80 изменений. Компания Adobe не стала заводить CVE-отчеты о данных ошибках, так как по её мнению CVE отражает информацию о публично известных ошибках, в то время как данные проблемы были выявлены при сугубо внутреннем тестировании (SPLC - Adobe Secure Product Lifecycle). Adobe заводит CVE в двух случаях: при поступлении информации об уязвимости извне и при исправлении zero-day уязвимостей. Для проблем, найденных в процессе разработки продукта, CVE не заводятся, иными словами уязвимости исправляются молча.

  1. Главная ссылка к новости (http://news.hitb.org/content/t...)
  2. OpenNews: Сравнение безопасности Microsoft Office и OpenOffice.org
  3. OpenNews: Инструмент аудита cross_fuzz позволил найти более ста ошибок во всех веб-браузерах
  4. OpenNews: В результате проведения Месяца безопасности PHP найдено 60 ошибок
  5. OpenNews: В CERT разработали открытый инструментарий для выявления уязвимостей
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: adobe, flash
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.7, Аноним, 17:33, 11/08/2011 [ответить] [смотреть все]
  • +4 +/
    Как раз отел написать что-то Google давноо не пиарился по поводу того, как они ... весь текст скрыт [показать]
     
     
  • 2.10, 82500, 17:37, 11/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    У них ведь сорсы есть
     
     
  • 3.14, Аноним, 17:54, 11/08/2011 [^] [ответить] [смотреть все]  
  • +/
    Они наработки в Адоб отправляют или как И в чём профит Гуглу их отправлять обра... весь текст скрыт [показать]
     
     
  • 4.27, Аноним, 18:32, 11/08/2011 [^] [ответить] [смотреть все]  
  • +4 +/
    Гугл не работает над самим флеш-плеером Дыры латает сам адоб и отсылает гуглу, ... весь текст скрыт [показать]
     
  • 1.15, gegMOPO4, 17:55, 11/08/2011 [ответить] [смотреть все]  
  • –5 +/
    Каждую изменённую строчку посчитали за отдельную исправленную уязвимость Хорошо... весь текст скрыт [показать]
     
     
  • 2.59, Аноним, 09:36, 13/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Вы знаете как работали советские приписчики?
     
  • 1.16, анонимЪ, 17:58, 11/08/2011 [ответить] [смотреть все]  
  • +1 +/
    то есть гугл теперь ещё за своё счёт латает Adobe'вский Flash?

    зачем гугл вообще связался с этим убожеством и засунул в свой броузер?

     
     
  • 2.24, Xasd, 18:24, 11/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +10 +/
    сегодня гугл бесплатно исправляет уязвимости в Flash... ...и устанавливает Flash поумолчанию в свои браузеры

    (давая Хомячкам понять будтобы:
    "вот он браузер! вы его запускаете и он просто работает... без всяких дополнительных доустановок различных компонентов для просмотра Video и Web-Игрушек!")

    ......а после-завтра -- Google просто возмёт выкинет Flash Player из Google Chrome и привыкшие к "всё-просто-работает!-без-дополнительных-доустановок" пользователи -- будут окончательно переведены на HTML5

    это ведь генеально! двух-шаговоние отучивание от Flash! :-D

     
     
  • 3.25, Аноним, 18:25, 11/08/2011 [^] [ответить] [смотреть все]  
  • +/
    попутно активно пиляя HTML 5, т к видимо качество кода от адобы их не радуе... весь текст скрыт [показать]
     
     
  • 4.51, Crazy Alex, 23:35, 11/08/2011 [^] [ответить] [смотреть все]  
  • +/
    Адоба и сама его активно пилит, кстати
     
     
  • 5.64, Аноним, 23:32, 13/08/2011 [^] [ответить] [смотреть все]  
  • +/
    HTML5 Ну спасибо тогда адобе за копание своей могилы ... весь текст скрыт [показать]
     
     
  • 6.66, Lain_13, 12:00, 14/08/2011 [^] [ответить] [смотреть все]  
  • +/
    У меня давное есть впечатление, что Адоби сами уже не рады, что ввязались в эту ... весь текст скрыт [показать]
     
  • 2.26, Аноним, 18:27, 11/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это хорошая реклама их браузера.
     
  • 2.29, Аноним, 18:38, 11/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    За тем же, зачем он вообще сделал браузер Прямого дохода с хрома он не имеет, ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.69, Anomymouse, 18:36, 15/08/2011 [^] [ответить] [смотреть все]  
  • +/
    Уже имеет - с ХромОС Еще более удобная для неискушенного пользователя штука, че... весь текст скрыт [показать]
     
  • 1.37, ДФ, 19:32, 11/08/2011 [ответить] [смотреть все]  
  • –1 +/
    Лучше бы Гугл пилил свободные Lightspark или Gnash, а не продукты конкурентов.
     
     
  • 2.39, Xasd, 20:15, 11/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    а толку от этих Lightspark или Gnash тратить на них силы как их можно... весь текст скрыт [показать] [показать ветку]
     
  • 1.40, Stax, 20:16, 11/08/2011 [ответить] [смотреть все]  
  • +2 +/
    А где 64-х битная версия? С устранением уязвимостей?
     
     
  • 2.41, scor, 20:32, 11/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +8 +/
    Её устранили.:) Т.е. при устранении всех уязвимостей в версии для x64 полезного кода не осталось вовсе.:)
     
  • 2.42, bugmenot, 20:36, 11/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    64-битная версия теперь - 11 beta. Здесь речь про 10.
     
     
  • 3.53, Stax, 23:57, 11/08/2011 [^] [ответить] [смотреть все]  
  • +/
    Да без разницы, 11 или 10, бета или нет Уязвимости-то там не пофикшены до сих п... весь текст скрыт [показать]
     
  • 1.43, Maresias, 22:03, 11/08/2011 [ответить] [смотреть все]  
  • +/
    Хотите поржать? :)

    Идём на http://get.adobe.com/flashplayer/, качаем, отправляем на VirusTotal.com...

    Упс!!! TrojWare.Win32.Trojan.Agent.Gen

    http://www.virustotal.com/file-scan/report.html?id=25fd949e85d0022b8a96c5edf2

    Молодец, Адобе, так держать!

     
     
  • 2.45, Карбофос, 22:11, 11/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    ложное срабатывание, ибо только один засветился
     
     
  • 3.47, Maresias, 22:32, 11/08/2011 [^] [ответить] [смотреть все]  
  • –2 +/
    Comodo - хороший, годный антивирус Раньше других сигнатуру в базы добавил Та... весь текст скрыт [показать]
     
  • 3.49, Карбофос, 22:53, 11/08/2011 [^] [ответить] [смотреть все]  
  • +/
    тем не менее, ложные срабатывания случаются довольно часто на всякого рода инста... весь текст скрыт [показать]
     
  • 2.65, anonymous, 23:35, 13/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Сигнатуры порой делают достаточно криворукие люди, неоднократно натыкался на лож... весь текст скрыт [показать] [показать ветку]
     
  • 1.48, Заоза, 22:33, 11/08/2011 [ответить] [смотреть все]  
  • +/
    было исправлено около 400 (четырёхсот) разных уязвимостей. Спасибо кэп, а за всю историю существования флеша было исправлено over9000, такое ощущение, что не Адоб, разработала флеш, а сам гугл, причем он так тщательно старается, вылизать его до идеала, что даже сама Адоб тупо не в силах, что либо сделать. Благо фотошоп они не забыли, а то бы уж другой, кто нибудь да прибрал бы его к рукам своим.
     
     
  • 2.52, Аноним, 23:57, 11/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Гуглю нужен безопасный, простой и открытый для пользователя интернет На этом ст... весь текст скрыт [показать] [показать ветку]
     
  • 1.54, umbr, 02:20, 12/08/2011 [ответить] [смотреть все]  
  • +/
    >внутреннего аудита кода, проведенного силами компании Google

    Не пойму, это Adobe Flash или Google Flash? :)

     
     
  • 2.55, AKR, 07:36, 12/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это Google Adobe.
     
  • 1.56, Аноним, 07:56, 12/08/2011 [ответить] [смотреть все]  
  • –1 +/
    А когдав репозитариях дистрибутивов появится новая версия плагина с исправленным... весь текст скрыт [показать]
     
  • 1.58, vayerx, 14:31, 12/08/2011 [ответить] [смотреть все]  
  • +/
    интересно, в 11ой версии столько же уязвимостей?
     
     
  • 2.61, Карбофос, 18:05, 13/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    скорее всего, можно провести вектор от 8й версии к 10й, тогда может прорисоватьс... весь текст скрыт [показать] [показать ветку]
     
  • 1.60, solardiz, 17:43, 13/08/2011 [ответить] [смотреть все]  
  • +1 +/
    Дополнительная информация от ребят из Google http googleonlinesecurity blogsp... весь текст скрыт [показать]
     
  • 1.62, Аноним, 22:52, 13/08/2011 [ответить] [смотреть все]  
  • +/
    400 устранено 900 осталось 200 добавят индусы из Адоба в следующем релизе Ари... весь текст скрыт [показать]
     
  • 1.63, Карбофос, 23:14, 13/08/2011 [ответить] [смотреть все]  
  • –1 +/
    фаззингом бомбили
     
     
  • 2.67, Lain_13, 13:30, 14/08/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Далеко не простым банальным физзингом, но таки да Их физзинг может проходить cr... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.68, Карбофос, 22:46, 14/08/2011 [^] [ответить] [смотреть все]  
  • +/
    интересно, что будет след. объектом исследования?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor