В Opera 9.64 (http://www.opera.com/docs/changelogs/linux/964/) исправлено 6 уязвимостей, внесено 7 новшеств, направленных на усиление безопасности, устранено 4 ошибки общего плана.Устранены уязвимости:
- Возможность (http://www.opera.com/support/search/view/926/) выполнения кода злоумышленника при открытии специальным образом оформленного JPEG изображения;
- Уязвимость связанная с возможностью организации выполнения скриптов в контексте другого сайта. Подробности по данной проблеме решено опубликовать позднее;
- Неопределенная уязвимость, помеченная как критическая. Детали решено опубликовать позднее;
- Проблема с загрузкой CRL (Certificate Revocation List) списка;
- Возможность впадения в бесконечную блокировку в SSL при обработке соединения;
- Проблема с расчетом идентификатора сертификата.
Почти все улучшения безопасности связаны с изменением методики работы с SSL сертификатами, переработан online репозиторий для проверки на ненадежные сертификаты, добав...URL: http://my.opera.com/desktopteam/blog/2009/03/03/9-64
Новость: https://www.opennet.ru/opennews/art.shtml?num=20579
> подробности по данной проблеме решено опубликовать позднее;
> Неопределенная уязвимость, помеченная как критическая. Детали решено опубликовать позднее;в этих двух строках мы наблюдаем все прелести закрытого программного обеспечения. типа подробности знаем, но никому не скажем, потому что мы такие вот классные пацаны
все логично. не все сразу обновятся до последней версии, зачем раскрывать и давать возможность использования уязвимости, тем самым подставляя свой браузер. Если бы опера была открытой, что-то бы поменялось? Сколько нужно человек чтобы найти неопределенную, абстрактную уязвимость? Сколько человек к примеру просто сидят и от нечего делать лопатят код фаерфокса в поисках возможной уязвимости...
>все логично. не все сразу обновятся до последней версии, зачем раскрывать и
>давать возможность использования уязвимости, тем самым подставляя свой браузер. Если бы
>опера была открытой, что-то бы поменялось? Сколько нужно человек чтобы найти
>неопределенную, абстрактную уязвимость? Сколько человек к примеру просто сидят и от
>нечего делать лопатят код фаерфокса в поисках возможной уязвимости...Столько , сколько и имеют этот код не все.
> Если бы опера была открытой, что-то бы поменялось?Да.Всякие там Coverity и просто любители могли бы пройтись по коду и выловить наиболее очевидные уязвимости.Не так уж оно и сложно.А вот без сорцев лопатить тонны гуано будут только далеко не лучшие представители хаксоров, которым нужны боты для ботнета.Да, оплата спамботов оправдывает такой трах.А вот у остальных обычно нет какой-то крутой мотивации трахаться с закрытым блобом просто так.
> Сколько нужно человек чтобы найти неопределенную, абстрактную уязвимость?
Ага, она еще "сферический конь в вакууме" называется :)
>А вот без сорцев лопатить тонны гуано будут только далеко не лучшие представители хаксоров, которым нужны боты для ботнета.и опять же - боты без сорцов и упоминаний. :-D
p.s.:
мне понравился другой пёрл:
>... тем самым подставляя свой браузер.так чей браузер на моём компе должен колбаситься? :-DDDDDDDDDDDDDDDDdddd
свои, как говориться - дома сидят. по чужим компам не шарятся.
или оперу смело списываем к адваре?
Обновления все выпускают, а нормальной версии с qt4 для x64 так и нет :(
Да, с shared qt.
>>Всякие там Coverity и просто любители могли бы пройтись по коду и выловить наиболее очевидные уязвимости.Не так уж оно и сложно.Хм, если не сложно, то почему в ФуфлоФоксе до сих пор дыр - как грязи на проселке? Открыто, вперед, ковыряйте, чем в каментах-то говорить, что, де, не так уж и сложно ;))
А ведь камунити-ниндзя, готовых за просто так прочесывать быдло-код, навалом. Казалось бы навалом.
а вот хрен опенсорсу. никому эти ваши коды не нужны - их тока сами разрабы смотрят, ну и хакеры еще (которые, ясен пень, никому эти дыры не сообщат. хоть и пишут про "хакирсую" этику - чепуха все это, они привыкли зарабатывать, а не фиксить дырявое ПО)
>Хм, если не сложно, то почему в ФуфлоФоксе до сих пор дыр
>- как грязи на проселке? Открыто, вперед, ковыряйте, чем в каментах-то
>говорить, что, де, не так уж и сложно ;))Собственно очевидные дыры в фоксе в основном прибили.Но код меняют, могут и новые появляться.А также хитрые и заковыристые дыры могут быть чертовски трудны в удавливании.Например они уже несколько раз пытались прибить баг когда память повреждается при работе JS в каких-то редких случаях.
>А ведь камунити-ниндзя, готовых за просто так прочесывать быдло-код, навалом. Казалось бы
>навалом.Ну так и прочесывают.В опере вон такие ляпы находят при том что ее юзает 1-2% (в среднем по планете, это только в совке ее порядка 15%, а у остальных она непопулярна).С ее парой процентов она тотально неинтересная мишень для хакеров.А еще в ней дыры искать крайне геморно из-за нужды в дизассемблировании и копании в тоннах ассемблерной байды.Если уж даже в таких тяжелых условиях находят столько дыр - думаю что если бы на месте фокса была опера - открыть сорцы, отвоевать 20% рынка и стать интересной мишенью - всех бы просто затопило дырами поначалу.
>а вот хрен опенсорсу. никому эти ваши коды не нужны - их
>тока сами разрабы смотрят, ну и хакеры еще (которые, ясен пень,
>никому эти дыры не сообщат.Да?А где же тогда собссно эксплойты фокса?Где затрояненые юзеры?Пи$D0ball`ство - нехорошо :)
>хоть и пишут про "хакирсую" этику - чепуха все это, они привыкли зарабатывать,
>а не фиксить дырявое ПО)А мозилла насколько я помню платит за такие баги :).Да и всякие секурити конторы - тоже. А вот опера... она не только не платит награду но и здорово усложняет их поиск(колупать блоб на куда геморнее чем сорц, но именно хакеры то как раз и не ищут легких путей, особенно те коотрые зарабатывают на этом черными путями).Так держать, ага.Микрософт со своими блобами и залежами троянов, малваре и сплойтов под систему показал что этот подход очень эффективен.В плане разведения зоопарка дыр и малвари.Так что еще вам осталось свалить на супернадежный виндовс (а чего этот супернадежный трындит если у меня нет фаервола или антивируса?Это как согласуется с супернадежностью?).Ну как же, в открытые исходники никто не смотрит и все такое, ага :)
>Хм, если не сложно, то почему в ФуфлоФоксе до сих пор дыр как грязи на проселке? Открыто, вперед, ковыряйте, чем в каментах-то говорить, что, де, не так уж и сложно ;))а пример привести?
или для "грязных" колхозников не аргумент? :-DDDDDDDDDDDDDDDDDDDd>А ведь камунити-ниндзя, готовых за просто так прочесывать быдло-код, навалом. Казалось бы навалом.
пока лучше не покажешь - свободен! :-DDDDDDDDDDDDDDDDDDDDDDDDD
не "быдло-кодер".. ага... гы-гы. :-DDDDDDDDDDDDDDDDDDDDd
Друзья, кто подскажет, почему не меняется тема в браузере от гугла? Вот все делаю по статье https://chrome-faq.info/kak-smenit-temu-v-hrome/. В итоге вродже установил, но она не активируется.