https://www.opennet.ru/openforum/vsluhforumID3/79651.html В очередном обновлении Adobe Flash 10.3.183.5 (http://get.adobe.com/flashplayer/) было официально устранено 13 уязвимостей (http://www.adobe.com/support/security/bulletins/apsb11-21.html), 12 из которых имеют характер критических проблем и позволяют организовать выполнение кода при открытии пользователем определенного Flash-контента. <br><br><br>По данным (http://news.hitb.org/content/tavis-ormandy-and-adobe-squabble-over-flash-bug-credit) одного из работников Google, на самом деле в новой версии было исправлено около <br>400<br> (четырёхсот (https://twitter.com/#!/taviso/status/101046246277521409)) разных уязвимостей. Данные уязвимости были выявлены в процессе проведения внутреннего аудита кода, проведенного при участии компании Google, поставляющей Flash-плагин в составе браузера Chrome. Так как информация о данных проблемах не вышла за стены компании, Adobe решила не пугать пользователей и умолчать о дополнительно внесенных исправлениях.<br><br>URL: http://news.hitb.org/content/tavis-ormandy-and-adobe-squabble-over-flash-bu https://www.opennet.ru/openforum/vsluhforumID3/79651.html#69 Mon, 15 Aug 2011 14:36:36 GMT Уже имеет - с ХромОС.<br><br>Еще более удобная для неискушенного пользователя штука, чем "мак", только значительно дешевле.<br><br>Все работает "из коробки", установки софта не требует, постоянного коннекта в интернет не требует - что еще нужно для "классников"/юпорна?<br> https://www.opennet.ru/openforum/vsluhforumID3/79651.html#68 Sun, 14 Aug 2011 18:46:33 GMT интересно, что будет след. объектом исследования?<br> https://www.opennet.ru/openforum/vsluhforumID3/79651.html#67 Sun, 14 Aug 2011 09:30:43 GMT &gt; фаззингом бомбили <br><br>Далеко не простым банальным физзингом, но таки да.<br>Их физзинг может проходить crc-проверки, например, генерируя блоки с корректной чексуммой ни чего не зная о протоколе, а просто пытаясь достичь нужных блоков кода в проверямой программе.<br> https://www.opennet.ru/openforum/vsluhforumID3/79651.html#66 Sun, 14 Aug 2011 08:00:14 GMT У меня давное есть впечатление, что Адоби сами уже не рады, что ввязались в эту авантюру с анимацией в вэбе. В принципе она приносила профит в начале на продажах редактора, но сейчас? У них есть прекрасный набор инструментов для обработки изображений и подготовки их в печать. Они на нём проживут ещё чёрт знает сколько лет (особенно благодяра нерасторопности развития GIMP). Зачем им флэш? А вот же ж, дырки в нём теперь только латай и латай&#8230; А надо ещё и обратную совместимость сохранять!<br>А о качестве кода плеера можно судить, например, по тому, что в нём краши можно свободно находить банальным перебором каждого байта в каком-нибудь флэш-ролике. А overflow-краши в руках специалиста часто превращаются в полноценные уязвимости.<br>Хорошо хоть Гуголь им напинать решил для расторопности, хоть от какой-то части потенциальных 0-day избавились.<br> https://www.opennet.ru/openforum/vsluhforumID3/79651.html#65 Sat, 13 Aug 2011 19:35:51 GMT Сигнатуры порой делают достаточно криворукие люди, неоднократно натыкался на ложные срабатывания в случае если некий продукт юзает определенные оупенсорс решения, так же используемые малварь-писателями.<br> https://www.opennet.ru/openforum/vsluhforumID3/79651.html#64 Sat, 13 Aug 2011 19:32:10 GMT &gt; Адоба и сама его активно пилит, кстати <br><br>HTML5? Ну спасибо тогда адобе за копание своей могилы :)<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/79651.html#63 Sat, 13 Aug 2011 19:14:07 GMT фаззингом бомбили<br> https://www.opennet.ru/openforum/vsluhforumID3/79651.html#62 Sat, 13 Aug 2011 18:52:37 GMT 400 устранено. 900 осталось. 200 добавят индусы из Адоба в следующем релизе.<br>Арифметика от Адобе.<br> https://www.opennet.ru/openforum/vsluhforumID3/79651.html#61 Sat, 13 Aug 2011 14:05:11 GMT скорее всего, можно провести вектор от 8й версии к 10й, тогда может прорисоваться качество кода в 11й... это предположение, конечно же, не учитывающее пафосные заявления адобе о "большой переработке кода"<br>