Компания Adobe сообщила (http://www.adobe.com/support/security/bulletins/apsb12-05.html) о выходе внепланового корректирующего релиза Flash Player 11.1.102.63 (http://get.adobe.com/flashplayer/), в котором устранено две критические уязвимости, которые потенциально могут привести к выполнению кода злоумышленников при открытии специально оформленного контента. Проблеме подвержены версии Flash для Windows, Mac OS X, Linux, Android и Solaris. Проблемы выявлены экспертами из компании Google, несколько дней назад уже устранившей указанные уязвимости в очередном обновлении браузера Chrome.
Одновременно представлен (http://blogs.adobe.com/labs/archives/2012/03/adobe-swf-inves...) новый открытый инструментарий для разработчиков и специалистов по безопасности - Adobe SWF Investigator (http://labs.adobe.com/technologies/swfinvestigator/), позволяющий в удобном GUI-интерфейсе провести детальный анализ внутренностей файлов SWF, выполнить декомпиляцию SWF и просмотреть код ActionScript. В частности, используя представленную утилиту можно изучить метод работы интегрированного в SWF файл эксплоита или выявить причину проблем в собственном Flash-контенте. SWF Investigator разработан и используется в команде, отвечающей за исправление узявимостей во Flash. Код инструментария написан с использованием Adobe AIR и открыт под лицензией Mozilla Public Licence.
В состав SWF Investigator входит редактор шестнадцатеричных дампов, статический и динамический анализаторы, дизасемблер ActionScript, интерфейс для просмотра SWF тегов, инструмент для выявления XSS-уязвимостей (межсайтовый скриптинг). Средства динамического анализа позволяют вызывать определённые функции SWF, загружать SWF в различных контекстах, взаимодействовать через локальные соединения или отправку сообщений в формате AMF (Action Message Format).URL:
Новость: http://www.opennet.me/opennews/art.shtml?num=33285
лет 10 назад -- мне такое понадобилось бы :-)...щаз уже точно не буду связываться с Flash
А если Флеш разрешен, к примеру, только с Ютуба, то есть шанс выполнение бяки с помощью Флеша через JS если Ютуб хакнут?
Уточню, что при этом на Ютуб какой-то сторонний Флеш не заливался, только JS.
тогда встречное уточнение -- каким образом было произведено запрещение Flash (на всех сайтах кроме Youtube) ?
Расширением ФФ, например.
Всё равно я глупость написал в ранних своих комментах)
фильтрующий прокси?
капец платным декомпиляторам флеша?p.s. сто якорей им в селезёнку за выбор платформы написания: для нормальной системы фигня совершенно бесполезна.
p.p.s. запилите кто-нибудь хороший онлайновый декомпилятор на основе этой фигни!
> капец платным декомпиляторам флеша?А разве есть кошерные платные декомпиляторы? опенсурсный apparat плюс прямые руки всех заткнёт за пояс.
> А разве есть кошерные платные декомпиляторы?знать не знаю, честно говоря. мне бы чо нибудь такое, чтобы я ему кнопочку ТЫЦ! а оно мне исходник БАЦ! и всё. всё равно в 99% случаев только и надо что вытащить алгоритм формирования урлы, чтобы качалку натравить.
походу "flash мы оставим только под chrome" это было не одолжение, а диверсия :)
Практически все последние баги в Flash Player найдены сотрудниками Google. Как же хорошо, что вплоть до смерти Флэша за ним будут следить не только индийские прогерры.
в смысле: дедушку достойно похоронят? )))
Не Google, а Microsoft. Пруфы? А у Вас есть пруфы вашего утверждения?
Круто. Но поздно, очень поздно. Теперь впору пилить нормальные дебагеры JS :P
как же радует меня это флэш... такое ощущение, что его писал школьник только что освоивший программирование
фигня какая то этот декомпилер, выдается код, похожий на ассемблер.. тот же Sothink SWF Decompiler выдает код куда читабельней
> фигня какая то этот декомпилер, выдается код, похожий на ассемблер.. тот же
> Sothink SWF Decompiler выдает код куда читабельнейСотник тоже фигня. От малейшего обфускатора валится и выплёвывает откровенный мусор. Так уж лучше читаемый ассемлер из которого можно востановить всё что нужно.
> Проблемы выявлены экспертами из компании Google.Ага, внештатными экспертами из компании Vupen Security, читали уже.