В очередном обновлении Adobe Flash 10.3.183.5 (http://get.adobe.com/flashplayer/) было официально устранено 13 уязвимостей (http://www.adobe.com/support/security/bulletins/apsb11-21.html), 12 из которых имеют характер критических проблем и позволяют организовать выполнение кода при открытии пользователем определенного Flash-контента.
По данным (http://news.hitb.org/content/tavis-ormandy-and-adobe-squabbl...) одного из работников Google, на самом деле в новой версии было исправлено около
400
(четырёхсот (https://twitter.com/#!/taviso/status/101046246277521409)) разных уязвимостей. Данные уязвимости были выявлены в процессе проведения внутреннего аудита кода, проведенного при участии компании Google, поставляющей Flash-плагин в составе браузера Chrome. Так как информация о данных проблемах не вышла за стены компании, Adobe решила не пугать пользователей и умолчать о дополнительно внесенных исправлениях.URL: http://news.hitb.org/content/tavis-ormandy-and-adobe-squabbl...
Новость: http://www.opennet.me/opennews/art.shtml?num=31459
Как раз отел написать: что-то Google давноо не пиарился по поводу того, как они в очередной раз удачно дизассемблировали код Flash Player для своего Chrome.
У них ведь сорсы есть
Они наработки в Адоб отправляют или как? И в чём профит Гуглу их отправлять обратно?
Гугл не работает над самим флеш-плеером. Дыры латает сам адоб и отсылает гуглу, пока все остальные ждут релиза.
Каждую изменённую строчку посчитали за отдельную исправленную уязвимость? Хорошо поработали, советские приписчики только облизываются.
Вы знаете как работали советские приписчики?
то есть гугл теперь ещё за своё счёт латает Adobe'вский Flash?зачем гугл вообще связался с этим убожеством и засунул в свой броузер?
сегодня гугл бесплатно исправляет уязвимости в Flash... ...и устанавливает Flash поумолчанию в свои браузеры(давая Хомячкам понять будтобы:
"вот он браузер! вы его запускаете и он просто работает... без всяких дополнительных доустановок различных компонентов для просмотра Video и Web-Игрушек!")......а после-завтра -- Google просто возмёт выкинет Flash Player из Google Chrome и привыкшие к "всё-просто-работает!-без-дополнительных-доустановок" пользователи -- будут окончательно переведены на HTML5
это ведь генеально! двух-шаговоние отучивание от Flash! :-D
> сегодня гугл бесплатно исправляет уязвимости в Flash... ...и устанавливает Flash поумолчанию
> в свои браузеры... попутно активно пиляя HTML 5, т.к. видимо качество кода от адобы их не радует ;).
Адоба и сама его активно пилит, кстати
> Адоба и сама его активно пилит, кстатиHTML5? Ну спасибо тогда адобе за копание своей могилы :)
У меня давное есть впечатление, что Адоби сами уже не рады, что ввязались в эту авантюру с анимацией в вэбе. В принципе она приносила профит в начале на продажах редактора, но сейчас? У них есть прекрасный набор инструментов для обработки изображений и подготовки их в печать. Они на нём проживут ещё чёрт знает сколько лет (особенно благодяра нерасторопности развития GIMP). Зачем им флэш? А вот же ж, дырки в нём теперь только латай и латай… А надо ещё и обратную совместимость сохранять!
А о качестве кода плеера можно судить, например, по тому, что в нём краши можно свободно находить банальным перебором каждого байта в каком-нибудь флэш-ролике. А overflow-краши в руках специалиста часто превращаются в полноценные уязвимости.
Хорошо хоть Гуголь им напинать решил для расторопности, хоть от какой-то части потенциальных 0-day избавились.
Это хорошая реклама их браузера.
За тем же, зачем он вообще сделал браузер.Прямого дохода с хрома он не имеет, весь смысл в удобном(для пользователей) и гибком(для гугла) клиенте для его веб-сервисов. Удобнее хром => больше лояльных пользователей.
Уже имеет - с ХромОС.Еще более удобная для неискушенного пользователя штука, чем "мак", только значительно дешевле.
Все работает "из коробки", установки софта не требует, постоянного коннекта в интернет не требует - что еще нужно для "классников"/юпорна?
Лучше бы Гугл пилил свободные Lightspark или Gnash, а не продукты конкурентов.
а толку от этих "Lightspark или Gnash" ? тратить на них силы.......как их можно будет применять в будущем? (в будущем которое без Flash?)
уже даже Adobe начинает понимать что Flash это временное являение -- продмывая свои новые редакторы в HTML5-ориентированном-виде
А где 64-х битная версия? С устранением уязвимостей?
Её устранили.:) Т.е. при устранении всех уязвимостей в версии для x64 полезного кода не осталось вовсе.:)
64-битная версия теперь - 11 beta. Здесь речь про 10.
Да без разницы, 11 или 10, бета или нет. Уязвимости-то там не пофикшены до сих пор? Тогда как использовать?
Хотите поржать? :)Идём на http://get.adobe.com/flashplayer/, качаем, отправляем на VirusTotal.com...
Упс!!! TrojWare.Win32.Trojan.Agent.Gen
http://www.virustotal.com/file-scan/report.html?id=25fd949e8...
Молодец, Адобе, так держать!
ложное срабатывание, ибо только один засветился
> ложное срабатывание, ибо только один засветилсяComodo - хороший, годный антивирус.
Раньше других сигнатуру в базы добавил.
Так или иначе, что бы Адобе ни делали, у них всегда малварь получается.
тем не менее, ложные срабатывания случаются довольно часто на всякого рода инсталлерах. в незапамятные времена писал я программку на виндах, которая использовала недокументированные функции, присутствие оных расценивалось несколькими антивирусами очень даже неадекватно. хотя никакого трояна, или кусочков вируса там в помине не было
Сигнатуры порой делают достаточно криворукие люди, неоднократно натыкался на ложные срабатывания в случае если некий продукт юзает определенные оупенсорс решения, так же используемые малварь-писателями.
было исправлено около 400 (четырёхсот) разных уязвимостей. Спасибо кэп, а за всю историю существования флеша было исправлено over9000, такое ощущение, что не Адоб, разработала флеш, а сам гугл, причем он так тщательно старается, вылизать его до идеала, что даже сама Адоб тупо не в силах, что либо сделать. Благо фотошоп они не забыли, а то бы уж другой, кто нибудь да прибрал бы его к рукам своим.
Гуглю нужен безопасный, простой и открытый для пользователя интернет. На этом строится их бизнес. Их браузер вроде как самый безопасный и оставлять дыры в виде флешплеера они не хотят. Правильно и делают.ПС:Так это же хорошо. Исправление тысячи уязвимостей было бы еще лучше.
>внутреннего аудита кода, проведенного силами компании GoogleНе пойму, это Adobe Flash или Google Flash? :)
Это Google Adobe.
А когдав репозитариях дистрибутивов появится новая версия плагина с исправленными уязвимостями? Или руками качать и ставить?
интересно, в 11ой версии столько же уязвимостей?
скорее всего, можно провести вектор от 8й версии к 10й, тогда может прорисоваться качество кода в 11й... это предположение, конечно же, не учитывающее пафосные заявления адобе о "большой переработке кода"
Дополнительная информация от ребят из Google:http://googleonlinesecurity.blogspot.com/2011/08/fuzzing-at-...
и от Adobe:
http://blogs.adobe.com/asset/2011/08/how-did-you-get-to-that...
со ссылками друг на друга и всяческим уважением.
Google:
"... 20 terabytes of SWF file downloads followed by 1 week of run time on 2,000 CPU cores to calculate the minimal set of about 20,000 files. Finally, those same 2,000 cores plus 3 more weeks of runtime were put to good work mutating the files in the minimal set (bitflipping, etc.) and generating crash cases. These crash cases included an interesting range of vulnerability categories, including buffer overflows, integer overflows, use-after-frees and object type confusions."
Adobe:
"We didn’t allocate any CVEs because we viewed this testing as part of the SPLC that spans the joint engineering efforts with the Google Chrome team. This led to some confusion since the Google security team has a different approach to CVE allocation.
The initial run of the ongoing effort resulted in about 400 unique crash signatures, which were logged as 106 individual security bugs following the initial triage. As these bugs were resolved, many were identified as duplicates that weren’t caught during the initial triage. In the final analysis, the Flash Player update we shipped earlier this week contains about 80 code changes to fix these bugs."
Google:
"Commandeering massive resource to improve security is rewarding on its own, but the real highlight of this exercise has been Adobe’s response. The Flash patch earlier this week fixes these bugs and incorporates UIPI protections for the Flash Player sandbox in Chrome which Justin Schuh contributed assistance on developing. Fixing so many issues in such a short time frame shows a real commitment to security from Adobe, for which we are grateful."
Adobe:
"What’s most important is that industry partners like Google and Adobe are working together on projects like this to protect our mutual customers. Adobe greatly appreciates the assistance of the Google Chrome team on this and other projects that are part of our cooperation."
400 устранено. 900 осталось. 200 добавят индусы из Адоба в следующем релизе.
Арифметика от Адобе.
фаззингом бомбили
> фаззингом бомбилиДалеко не простым банальным физзингом, но таки да.
Их физзинг может проходить crc-проверки, например, генерируя блоки с корректной чексуммой ни чего не зная о протоколе, а просто пытаясь достичь нужных блоков кода в проверямой программе.
интересно, что будет след. объектом исследования?