https://opennet.ru/openforum/vsluhforumID3/88861.html В реализации файловой системы VFAT, входящей в состав ядра Linux, <br>выявлена (http://www.openwall.com/lists/oss-security/2013/02/26/5) уязвимость (CVE-2013-1773), связанная с возможностью переполнения буфера при обработке определённым образом оформленных имён файлов в кодировке UTF-8. Проблема проявляется только при преобразовании символов UTF8 в UTF16, которое выполняется при монтировании раздела с опцией "utf8". Указанная опция, в частности, используется при монтировании внешних накопителей в платформе Android и в Ubuntu 10.04. Проблема проявляется для ядра Linux до версии 3.2 (многие Android-устройства подвержены уязвимости). <br><br><br>В настоящий момент в Сети доступен эксплоит (http://www.exploit-db.com/exploits/23248/), инициирующий перезагрузку устройств на базе платформы Android при одновременной записи нескольких файлов с именами, размер которых превышает 2048 байт. Эксплоит был разработан ещё летом 2012 года и ограничивается проведением DoS-атаки. В основном ядре Linux проблема была молча исправлена (htt https://opennet.ru/openforum/vsluhforumID3/88861.html#76 Fri, 01 Mar 2013 05:46:16 GMT Причем большая часть звучит так - Эта уязвимость позволяет злоумышленнику НЕ прошедшему проверку подлинности выполнить произвольный код на машине....<br> https://opennet.ru/openforum/vsluhforumID3/88861.html#74 Wed, 27 Feb 2013 21:29:27 GMT &gt; Хром != Хромиум <br><br>...поэтому адоб патчит свое сито сам :)<br><br> https://opennet.ru/openforum/vsluhforumID3/88861.html#73 Wed, 27 Feb 2013 20:41:07 GMT Если бы детали были малозначительными, то исходный код запросто бы публиковали. 3начит - детали не малознчительны.<br> https://opennet.ru/openforum/vsluhforumID3/88861.html#72 Wed, 27 Feb 2013 18:18:09 GMT &gt; а как же любимый аргумент шигорина<br><br>Ух ты, а можно ссылочку или сразу оставим на Вашей совести?<br> https://opennet.ru/openforum/vsluhforumID3/88861.html#71 Wed, 27 Feb 2013 17:47:04 GMT а как же любимый аргумент шигорина что ядро смотрят милионы пользователей и ищут уязвимости и в этом прелесть GPL ?<br> https://opennet.ru/openforum/vsluhforumID3/88861.html#70 Wed, 27 Feb 2013 17:18:18 GMT &gt; Хром != Хромиум <br><br>Хром = Хромиум + несколько малозначительных мелочей, типа Flash в комплекте и поддержка синхронизации через сервисы Google.<br> https://opennet.ru/openforum/vsluhforumID3/88861.html#69 Wed, 27 Feb 2013 17:14:57 GMT &gt;&gt; После публикации информации об уязвимости родилась дискуссия о возможных путях решения сложившейся ситуации с отсутствием оценки влияния исправляемых в ядре проблем на безопасность. Сейчас разработчики ядра не делают различий в том, связано исправление с уязвимостью или только влияет на стабильность. По словам одного из членов Red Hat Security Response Team в настоящее время нереально провести полный аудит всех вносимых в ядро исправлений, их слишком много, например, среди десятков тысяч изменений трудно выявить именно те единичные случаи, которые могут привести к нарушению безопасности. В качестве одного из вариантов выхода из сложившейся ситуации было упомянуто создание отдельной группы для рецензирования всех вносимых в ядро изменений на их возможное влияние на безопасность.<br><br>либо можно просто не slowpoke'чить со своими fork'ами и backport'ами в них, а поставлят свежее ядро в своих полу'proprie'растных поделках.<br>но нет, пусть этим разрабы Linux'а бесплатно позанимаются, ага.<br> https://opennet.ru/openforum/vsluhforumID3/88861.html#68 Wed, 27 Feb 2013 17:13:39 GMT &gt; Вот вам и линукс.<br><br>У знакомого на винде каждый день приходят тонны исправлений уязвимостей, и что? Человеческий фактор, уязвимостей не может не быть. Их может быть минимальное количество и оперативное исправление.<br> https://opennet.ru/openforum/vsluhforumID3/88861.html#67 Wed, 27 Feb 2013 15:16:08 GMT &gt;&gt; Код? Код Хрома? Где они его находят?<br>&gt; http://src.chromium.org/ <br><br>Хром != Хромиум<br>