Кроме двух успешных атак на браузер Chrome и универсальной атаки через Adobe Flash в дни проведения соревнований Pwn2own была продемонстрирована (http://www.zdnet.com/blog/security/researchers-hack-into-new...) неисправленная (zero-day) уязвимость в последнем выпуске Firefox 10.0.2. Рабочий эксплоит был продемонстрирован в Windows 7 SP1 со всеми доступными обновлениями, при этом успешному выполнению кода с правами текущего пользователя не помешали средства защиты DEP (Data Execution Prevention) и ASLR (Address Space Layout Randomization).Авторы эксплоита, Willem Pinckaers и Vincenzo Iozzo, получили (http://pwn2own.zerodayinitiative.com/) вторую премию конкурса Pwn2own - 30 тысяч долларов (первая премия 60 тыс. долларов досталась создателям метода атаки на Internet Explorer и Chrome через Adobe Flash, отдельно по 60 тыс. долларов от компании Google получили авторы эксплоитов для браузера Chrome). Детали взлома по условиям соревнований будут оставаться в тайне до момента выпуска официального обновления Firefox.
Для проведения атаки была использована уязвимость, позволяющая выполнить обращение к уже освобождённой области памяти (use-after-free). По словам создателей эксплоита для успешной организации атаки найденная use-after-free уязвимость была применена три раза: первый раз для получения определённой информации, второй раз для определения адреса данных и третий для передачи управления своему коду. Уязвимость выявил Vincenzo Iozzo, а Willem Pinckaers всего за день написал рабочий эксплоит.URL: http://www.zdnet.com/blog/security/researchers-hack-into-new...
Новость: http://www.opennet.me/opennews/art.shtml?num=33324
Продемонстрировано там это было, я так понял,- в "винде7". А в других ос тогда как? И как раз сегодня я ставил этот "10.02" на "винду2000". Поставилось и работает хорошо. А если этот системник принести туда то интересно,- там этот браузер вскроют?
Там похоже всё вскроют, что дают.
OpenVMS, очкуют.
> OpenVMS, очкуют.Ну ты предложи 60k$ и предоставь OpenVMS и браузер на ней, а мы посмотрим - очкуют или нет :)
>> OpenVMS, очкуют.
> Ну ты предложи 60k$ и предоставь OpenVMS и браузер на ней, а
> мы посмотрим - очкуют или нет :)
> А в других ос тогда как?Вряд ли будет какая разница. На какой-нибудь XP будет ещё проще.
В win2k нету ни DEP, ни ASLR, так что там это вообще элементарно.
Детские болезни дедушек всё ещё не излечимы. Я имею в виду языки программирования C/C++.
иного коммента от Вас вряд ли кто-то ждал."жду-нимагу" аналогов FF/Chrome на JAVA (да! О_О), чтобы был такой же функционал, потребление ресурсов, и без "детских болезней дедушек".
разбудите, когда будет, ок? :)
> "жду-нимагу" аналогов FF/Chrome на JAVA (да! О_О), чтобы был такой же функционал,
> потребление ресурсов, и без "детских болезней дедушек".
> разбудите, когда будет, ок? :)Похоже, ты всё проспал. И Opera Mini, и китайский офисный пакет и браузер на Java. Но у тебя всё ещё есть возможность попробовать браузер на Java — он встроен в NetBeans.
Люди по привычке сатвят эту дурь под названием операмини. Пока продаётся симбиан и старые привычки не вышибутся так и будет. Но прирост пользователей хрома/фаерфокса побольше чем у этой недоделки.
Не по привычке.
За системные требования браузера к памяти в 512Мб для мобильных устройств надо руки без наркоза отрывать за такую оптимизацию, чтоб другим неповадно было.
Это вы о андроиде так ?:)
> Это вы о андроиде так ?:)Это про ФФ который для него
не на последнем месте и сжатие трафика. не забывайте, не у всех канал «резиновый»
> не на последнем месте и сжатие трафика.Если забыть о том моменте что сервера оперы на половине сайтов забанены за избыток школья с этих самых серверов - оно даже ничего. Но половина сайтов давно внесло эти сервера в блеклист, по причине совершенно неадекватного и бесполезного контингента который оттуда прется. Лишний тому пруф - прямо здесь.
> Люди по привычке сатвят эту дурь под названием операмини. Пока продаётся симбиан и старые привычки не вышибутся так и будет. Но прирост пользователей хрома/фаерфокса побольше чем у этой недоделки.Сравнивать мобильные браузеры Opera с десктопными Chrome/Firefox - это толстый троллинг. Это во-первых. А во-вторых, даже рост числа пользователей десктопных Chrome/Firefox не может сравниться с ростом числа пользователей мобильных версий Opera. Особенно в России.
Кстати, несколько цифр. Среднемесячный прирост числа пользователей Opera Mini в России по платформам:
JavaME - +5,5%
Nokia - +10%
Android - +24%
iOS - +8%
> Android - +24%Да-да, реклама оперы мини в андроиде так и прёт изо всех щелей.
Щель покажете? :)
Опа, в опере мини уже можно посмотреть ролики на ютубе? Или она всё ещё как из каменного века?
> Опа, в опере мини уже можно посмотреть ролики на ютубе? Или она
> всё ещё как из каменного века?Вообще-то на оперовском сайте говорят что нет.
Но на нем же говорят что да:
http://my.opera.com/russian/forums/findpost.pl?id=10934442И что интересно, работает даже на обычной звонилке.
Правда пропорции корежит.
> Опа, в опере мини уже можно посмотреть ролики на ютубе? Или она
> всё ещё как из каменного века?Opera Mini автоматически передаёт ссылку встроенному плейеру в телефоне. Этого недостаточно? :)
> Opera Mini автоматически передаёт ссылку встроенному плейеру в телефоне. Этого недостаточно? :)Не знаю, несколько дней назад у меня в руках был "китайский айфон" с оперой мини и вайфаем, но мне не удалось ему объяснить, что интернет таки есть, ибо все ява проги почему-то хотели только мобильный тырнет. Так что проверить не получилось :)
> Похоже, ты всё проспал. И Opera Mini, и китайский офисный пакет иВ Opera Mini вся обработка страниц и рендеринг производится на внешнем сервисе, локальная программа только вывод транслирует.
> 1. Что за блажь открывать локальную страницу, недоступную извне, из мобильного (!)
> браузера? Он же принципиально работает вне вашей корпоративной сети.Допустим, нужно проверить как отображается разрабатываемый сайт на мобильном устройстве. Доступность разрабатываемого сайта в интернете недопустима по понятным причинам.
> Допустим, нужно проверить как отображается разрабатываемый сайт на мобильном устройстве. Доступность разрабатываемого сайта в интернете недопустима по понятным причинам.Откройте для себя Opera Mobile Emulator:
http://www.opera.com/developer/tools/mobile/
>> Похоже, ты всё проспал. И Opera Mini, и китайский офисный пакет и
> В Opera Mini вся обработка страниц и рендеринг производится на внешнем сервисе,
> локальная программа только вывод транслирует.В Opera Mobile ядро и интерфейс работают на одном устройстве, в Opera Mini ядро находится на сервере, а на телефоне только клиентская часть. IMHO, очень умное решение.
> И Opera MiniOpera Mini это не браузер, а удалённая консоль к серверам Opera Software. Браузер это Opera Mobile.
Не забывайте что только не давно Oracle полечил несколько критических уязвимостей самой JAVA а уж об остальном лучше и не думать.....
> Не забывайте что только не давно Oracle полечил несколько критических уязвимостей самой
> JAVA а уж об остальном лучше и не думать.....А что, ядро Пингвинуса без греха? Тогда пусть лично Линус швыранет в нас булыжником. Да и в Оракл тоже, если уж на то пошло.
> А что, ядро Пингвинуса без греха?Ну по крайней мере ремотно эксплойтабельные дыры в нем как-то нечасто попадаются.
Ви знаете, серьёзные программы на Java уже жрут меньше, чем эти Firefox и Chrome.
Это какие, например?
> разбудите, когда будет, ок? :)Лезайте-ка в криокамеру =)
> Детские болезни дедушекКак хорошо, что яЗен здоров и богат. И машет нам перьями со шляпы с белого коня! </joy>
Плохому танцору всегда что-то мешает. С++ как и любой другой язык - это всего лишь инструмент, а вот кто и как им пользуется зависит от их квалификации
А что если я буду утверждать, что абсолютно все ошибки, связанные с переполнением буфера, прорыва программного стека и нарушением границ памяти связаны напрямую с особенностями реализации языка программирования высокого уровня C и C++ в частности? Заметьте: не низкоуровневая реализация среды исполнения, ни компилятора, а именно самого ЯВУ. Что вы на это скажете? "Писать надо уметь, тогда и ошибок не будет"? Не возражу. Трудно возразить на то, что НЕ_ПОДДЕРЖИВАЕТ хотя бы минимальный уровень качества программирования, как это делает Java.
> А что если я буду утверждать, что абсолютно все ошибки, связанные с
> переполнением буфера, прорыва программного стека и нарушением границ памяти связаны напрямую
> с особенностями реализации языка программирования высокого уровня C и C++ в
> частности? Заметьте: не низкоуровневая реализация среды исполнения, ни компилятора, а
> именно самого ЯВУ. Что вы на это скажете? "Писать надо уметь,
> тогда и ошибок не будет"? Не возражу. Трудно возразить на то,
> что НЕ_ПОДДЕРЖИВАЕТ хотя бы минимальный уровень качества программирования, как это делает
> Java.В данном случае не "не поддерживает" а предоставляет больше возможностей, имеет большую гибкость. Поэтому их и используют как основной язык для системных приложений. Заметьте, все языки, которые обладают эффектом "синей бороды" (что разрешено - используй, а что нет - сразу по рукам) используют только на прикладном уровне. Потому что когда идет нестандартное окружение сразу появляются костыли, позволяющие обойти ограничения языка (например, попробуйте в Perl распарсить бинарный блоб известной вам структуры только средствами языка, не используя unpack). Как вы правильно указали, "Писать надо уметь" (притом это относится ко всем языкам), особенно если язык предоставляет эту возможность. Например в С++ есть очень хорошая концепция RAII. Даже просто следуя ей, можно забыть про сборщик мусора, так как эта работа ложится на компилятор. Так что еще раз повторюсь - тут вопрос только том, насколько человек владеет выбранным инструментом.