The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

11.01.2018 23:51  21 неисправленная уязвимость в системе 3D-моделирования Blender

В результате аудита кодовой базы свободной системы 3D-моделирования Blender исследователями безопасности из компании Cisco выявлена 21 уязвимость. Уязвимость позволяют атакующему выполнить произвольный код при открытии в Blender специально подготовленных файлов в различных форматах. В том числе уязвимости затрагивают обработчики данных в форматах png, tiff, bmp, avi, blend, iris, cin и hdr.

Примечательно, что на предложение исследователей оперативно выпустить обновление с устранением уязвимостей, разработчики Blender в сентябре отказались решать проблемы в экстренном порядке, поэтому уязвимости остаются неисправленными и после истечения 90-дневного эмбарго информация о них теперь опубликована. Более того, разработчики скептически относятся к угрозе атаки на системы пользователей через Blender, считая, что открытие файла в Blender можно рассматривать как запуск файла интерпретатором Python, т.е. пользователь должен использовать контент только из проверенных источников.

  1. Главная ссылка к новости (http://blog.talosintelligence....)
  2. OpenNews: Новая версия свободной системы 3D-моделирования Blender 2.79
  3. OpenNews: Обновление свободной системы 3D-моделирования Blender 2.78b
  4. OpenNews: Новая версия свободной системы 3D-моделирования Blender 2.78
  5. OpenNews: Подготовленный сообществом Blender мультфильм победил на фестивале SIGGRAPH 2016
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: blender
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, pavlinux, 00:07, 12/01/2018 [ответить] [смотреть все]
  • –2 +/
    >  в форматах png, tiff, bmp, avi,

    Казало бы, онанизм безвреден, ан нет, может стать, что проститутки менее вредные.    

     
     
  • 2.5, Аноним, 00:38, 12/01/2018 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    А что не так с png?
     
     
  • 3.9, Аноним, 01:56, 12/01/2018 [^] [ответить] [смотреть все]
  • +10 +/
    Попробую расшифровать иронию. Казалось бы, такие простые форматы/контейнеры/кодеки, существующие черт знает сколько лет, ан нет, обосрамс не спит и так норовит навалиться в штанишки кодеров.
     
     
  • 4.25, Аноним, 08:40, 12/01/2018 [^] [ответить] [смотреть все]
  • –7 +/
    си, сэр
     
     
  • 5.31, QuAzI, 09:53, 12/01/2018 [^] [ответить] [смотреть все]
  • +2 +/
    Не ссы, сэр В других языках на подобных комбайнах надо стотыщгигабайт прокачать... весь текст скрыт [показать]
     
     
  • 6.33, iZEN, 09:57, 12/01/2018 [^] [ответить] [смотреть все]  
  • –4 +/
    На JavaME кодек PNG умудрялись на Nokia запускать, которая больше 128 килобайт j... весь текст скрыт [показать]
     
     
  • 7.40, Аномномномнимус, 11:51, 12/01/2018 [^] [ответить] [смотреть все]  
  • +2 +/
    Какой кодек Который отрисовывал 64x64 пикселя полчаса Ну ка покажи софт уровня... весь текст скрыт [показать]
     
     
  • 8.61, iZEN, 23:23, 12/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Кодек, который манипулирует изображениями в формате PNG, для работы со спрайтами... весь текст скрыт [показать]
     
     
  • 9.81, Аномномномнимус, 15:51, 15/01/2018 [^] [ответить] [смотреть все]  
  • +/
    И на которой из J2ME Нокий твой JPatch пойдёт И сколько лет его ещё костылить д... весь текст скрыт [показать]
     
     
  • 10.84, Ю.Т., 16:23, 15/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Крайнему релизу Jpatch 13-14 лет Скоро в армию пойдёт ... весь текст скрыт [показать]
     
     
  • 11.85, Аномномномнимус, 19:15, 15/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Unreal Engine 20 лет в строю C , множество платформ, тысячи игр, быстрый и мес... весь текст скрыт [показать]
     
  • 5.73, Аноним, 07:18, 13/01/2018 [^] [ответить] [смотреть все]  
  • +/
    А запускает питон и проблема в питоне. Правда странно?
     
  • 4.32, iZEN, 09:55, 12/01/2018 [^] [ответить] [смотреть все]  
  • –17 +/
    Это Си Чего вы хотите от гальванизируемого трупа, который воняет вот уже 45 лет... весь текст скрыт [показать]
     
     
  • 5.35, Аноним, 10:23, 12/01/2018 [^] [ответить] [смотреть все]  
  • +11 +/
    Изя, ну выкинь тогда свою FreeBSD, она ж пока ещё на C написана, а не на "безопасной" Жабе.
     
     
  • 6.59, ы, 18:37, 12/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Пускай лучше от досады застрелится
     
     
  • 7.62, _, 23:47, 12/01/2018 [^] [ответить] [смотреть все]  
  • +6 +/
    В голову то он попадёт ... а в моск - нет! :-))))
     
     
  • 8.70, ы, 01:29, 13/01/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    В моск не попадёт, мож хоть жабу пристрелит
     
  • 8.74, Аноним, 07:20, 13/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Будет стрелять в голову, в результате прострелит ногу, потому что не умеет в С ... весь текст скрыт [показать]
     
  • 6.67, Аноним, 01:06, 13/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Он говорит об энтерпрайзе, а не об узких железячных задачах В приницпе условно ... весь текст скрыт [показать]
     
  • 4.78, Аноним, 19:18, 13/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Не понял? Это форматы виноваты?
     
  • 1.2, Аноним, 00:10, 12/01/2018 [ответить] [смотреть все]  
  • –1 +/
    Мой чёрный список разработчиков стал на одну строчку длиннее.
     
     
  • 2.34, Аноним, 10:04, 12/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +7 +/
    Как будто это на что-то повлияет. В этом же списке интел и амд должны быть, не верю что соскочите на что-то другое.
     
     
  • 3.79, Аноним, 19:21, 13/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Останется только ноутбук Столлмана с установленной на нём Emacs OS и заметьте, н... весь текст скрыт [показать]
     
  • 2.58, Аноним, 18:27, 12/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Какой не политкорректный комментарий.
     
  • 2.75, Аноним, 07:21, 13/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Добавляй весь софт и хардвар заранее, не ошибёшься.
     
  • 1.3, waylandbeliver, 00:13, 12/01/2018 [ответить] [смотреть все]  
  • +/
    Вот блендер и стал популярным
     
     
  • 2.7, Аноним, 01:13, 12/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Просто недовольные дауны не способны потратить кучу своего времени на закрытие т... весь текст скрыт [показать] [показать ветку]
     
  • 2.8, Sluggard, 01:38, 12/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Признак популярности 8212 это не наличие уязвимостей в ПО они есть почти все... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.54, scorry, 15:37, 12/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Я-то думал, что признак популярности — количество пользователей.
     
     
  • 4.60, Sluggard, 21:23, 12/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Это само собой, я отвечал в контексте наличия уязвимостей Наверное, стоило уто... весь текст скрыт [показать]
     
  • 1.4, Stop, 00:29, 12/01/2018 [ответить] [смотреть все]  
  • –4 +/
    White and soft CISCO... do you trust them?
     
     
  • 2.6, Константавр, 01:02, 12/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Ду ю рили синьк ю кин спик инглиш?
     
     
  • 3.37, Аноним, 11:17, 12/01/2018 [^] [ответить] [смотреть все]  
  • +/
    ноу
     
  • 1.11, prokoudine, 02:51, 12/01/2018 [ответить] [смотреть все]  
  • +7 +/
    Blender 2.80 должен был выйти в 2016 году, а нынче уже 2018 и ещё даже беты нет. Нежелание Розендала тратить время на исправление ошибок такого рода можно понять.
     
     
  • 2.12, Максим, 02:56, 12/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    В 2016 они его даже не пилили - только переписывали код, чтобы работать с OpenGL... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.16, prokoudine, 05:05, 12/01/2018 [^] [ответить] [смотреть все]  
  • +2 +/
    https code blender org 2015 07 blender-2-8-the-workflow-release Just like fo... весь текст скрыт [показать]
     
  • 2.14, anonymous, 03:36, 12/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Блендер это как мешок картошки бесформенный Слишком большой порог вхождения, сл... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.51, Iaaa, 13:19, 12/01/2018 [^] [ответить] [смотреть все]  
  • –8 +/
    У меня семилетний сын за два дня с помощью ютуба научился моделировать людей Ес... весь текст скрыт [показать]
     
     
  • 4.52, Организация Объединённых Тюленей, 14:43, 12/01/2018 [^] [ответить] [смотреть все]  
  • +7 +/
    Имелся в виду порог вхождения для разработчиков Blender'а.

    искренне ваш, и.о. К.О.

     
  • 4.71, angra, 02:24, 13/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Даже если оставить в стороне то, что имелось ввиду вхождение как разработчика, а... весь текст скрыт [показать]
     
  • 4.76, Аноним, 14:08, 13/01/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    Кажется, я видел работы вашего сына на порнхабе, в разделе 3D Animation.
     
  • 2.50, Аноним, 13:17, 12/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Нежелание кого бы то ни было исправлять такие ошибки нельзя простить ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.68, prokoudine, 01:08, 13/01/2018 [^] [ответить] [смотреть все]  
  • +/
    А можно просто патч прислать.
     
  • 1.13, Аноним, 03:24, 12/01/2018 [ответить] [смотреть все]  
  • +7 +/
    Так и вижу емейл - это я твой друг, открой вот этот блендер файл, посмотри фоточки с отдыха
     
  • 1.15, Аноним, 05:01, 12/01/2018 [ответить] [смотреть все]  
  • +/
    На сколько сложно закрыть хотя бы одну из этих дыр например связанную с PNG... весь текст скрыт [показать]
     
     
  • 2.17, prokoudine, 05:10, 12/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Сами патчи скорее всего будут не очень большими Для примера https git gnome ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.65, Michael Shigorin, 00:28, 13/01/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    Сайт -- не патч, однако...
     
     
  • 4.69, prokoudine, 01:09, 13/01/2018 [^] [ответить] [смотреть все]  
  • +/
    У них там и патч был к паре багрепортов Один сразу применили, второй подзабылся... весь текст скрыт [показать]
     
  • 1.18, Аноним, 05:19, 12/01/2018 [ответить] [смотреть все]  
  • +1 +/
    открытие файла в Blender можно рассматривать как запуск файла интерпретатором P... весь текст скрыт [показать]
     
     
  • 2.29, QuAzI, 09:48, 12/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Интернет и твой локальный файл никак не связаны Ты не понимаешь как это работае... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.42, tizen, 12:03, 12/01/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    Любой файл на вашем ПК можно заразить вирусом достаточно найти нужный сайт с... весь текст скрыт [показать]
     
     
  • 4.43, Аномномномнимус, 12:42, 12/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Если у тебя дырявый браузер, тебе уже не нужно заражать любой файл , твою систе... весь текст скрыт [показать]
     
     
  • 5.47, Джон Ленин, 12:52, 12/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Исправлять такое надо в ЛИБАХ и ПЕТОНЕ Не нравится что-то 8212 пакуйте polki... весь текст скрыт [показать]
     
  • 5.80, tizen, 17:27, 14/01/2018 [^] [ответить] [смотреть все]  
  • +/
    По файлопомойкам нужно перстать лазить Вам, а так же нужно снять розовые очки в ... весь текст скрыт [показать]
     
     
  • 6.82, Аномномномнимус, 16:00, 15/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Т е у тебя дырявый браузер, устаревшие базы к хреновому антивирусу, но виноваты... весь текст скрыт [показать]
     
     ....нить скрыта, показать (6)

  • 1.21, brothermechanic, 06:35, 12/01/2018 [ответить] [смотреть все]  
  • +2 +/
    Все из за того что вместе с исходниками Blender поставляются некоторые исходники

    сторонних либ, которые конечно же протухли и содержат уязвимости,

    https://git.blender.org/gitweb/gitweb.cgi/blender.git/tree/HEAD:/extern

    А чтоб собрать блендер с системными либами, нужны патчи.

     
  • 1.22, Аноним, 07:24, 12/01/2018 [ответить] [смотреть все]  
  • +1 +/
    Последнее сообщение в перписке Тона и Циско Циско пока не ответили, обидно ... весь текст скрыт [показать]
     
     
  • 2.30, QuAzI, 09:49, 12/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    А вот это просто подстава и желание цисок попиариться
     
  • 1.23, Ю.Т., 07:28, 12/01/2018 [ответить] [смотреть все]  
  • –2 +/
    А ошибки-то классические, до-интернетные ещё - integer overflow (за тип integer испытываю к Си неприязнь с первых дней освоения).

    ЧуЙствую, бойцы из TALOS не истаптывали тонну сапог, а просто пробежались по самым очевидным подпрограммам с int аргументами. Там и ещё осталось, наверное.

    P.S. Почему текстовое поле на opennet с таким микроскопическим размером шрифта, достало уже?? Ни один более сайт не загоняет в такие мелкие буквы.

     
     
  • 2.27, Аноним, 09:18, 12/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Контрол плюс %username%!
     
     
  • 3.41, Ю.Т., 11:54, 12/01/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    Тонко очень Открывает сообщения, подписанные мной И Намёк, что надо зар... весь текст скрыт [показать]
     
     
  • 4.48, J.L., 13:13, 12/01/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    в обычных браузерах это увеличивает масштаб страницы контрл 0 - сброс на дефолт... весь текст скрыт [показать]
     
     
  • 5.57, Ю.Т., 16:50, 12/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Нет, Ctrl знаю, но тогда обычный текст разрастается А что ж не сделать было... весь текст скрыт [показать]
     
  • 2.28, Аноним, 09:26, 12/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    До сих пор пишешь в QBasic Не, не достало, спасибо, что спросил ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.38, Ю.Т., 11:50, 12/01/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    Не, всего лишь поставил термин, чтобы какой-нибудь петросян спросил про бэйсик ... весь текст скрыт [показать]
     
     
  • 4.45, Аномномномнимус, 12:43, 12/01/2018 [^] [ответить] [смотреть все]  
  • +3 +/
    - Ты программишь?
    - Нет, так, подпрограммливаю

     
  • 2.36, Аноним, 10:33, 12/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    А что, в других ЯП нет целочисленных знаковых и беззнаковых типов ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.39, Ю.Т., 11:51, 12/01/2018 [^] [ответить] [смотреть все]  
  • –2 +/
    Есть, конечно Но где ещё целочисленным типом пользуются с такой удалью - и не с... весь текст скрыт [показать]
     
     
  • 4.53, Comdiv, 14:47, 12/01/2018 [^] [ответить] [смотреть все]  
  • +/
    C++ же
     
  • 1.24, тот еще анон, 08:10, 12/01/2018 [ответить] [смотреть все]  
  • +11 +/
    Cisco у себя устранила все уязвимости и от скуки блендер тестит?
     
     
  • 2.49, Аноним, 13:13, 12/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это для разнообразия: у себя-то они уязвимости создают, а не устраняют.
     
  • 2.56, Анониммм, 15:51, 12/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну видимо, они вплотную занимаются анализом передаваемых файлов через свои желез... весь текст скрыт [показать] [показать ветку]
     
  • 2.66, Michael Shigorin, 00:31, 13/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Спасибо за формулировку, у меня всё как-то не складывалась ... весь текст скрыт [показать] [показать ветку]
     
  • 1.26, kaiwas, 08:49, 12/01/2018 [ответить] [смотреть все]  
  • +/
    А пофиг! Всё равно это лучшая программа для онтопика!
     
  • 1.55, Анониммм, 15:48, 12/01/2018 [ответить] [смотреть все]  
  • +2 +/
    Ну как бэ ставить софт и открывать ресурсы - не одно и то же. Каждую картинку проверять не вариант даже для конченного параноика.
    Разрабы блендера эпичны в своей безолаберности. Но они же никому ничего не должны...
     
     
  • 2.83, Аномномномнимус, 16:04, 15/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Анонимусы эпичны в своей безалаберности. Но они же никому ничего не должны... Только потреблять и ныть о том, что их вообще не касается
     
  • 1.86, IY, 19:38, 21/01/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    ...а питон давно пора было из блендера выпилить. Совсем.
    Не то чтобы уязвимости были именно из-за него. Просто достал.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor