одним махом пятерых побивахом (комп.)

[avva]

A critical vulnerability exists in Adobe Flash Player 10.1.82.76 and earlier versions for Windows, Macintosh, Linux, Solaris, and Adobe Flash Player 10.1.92.10 for Android.

Никогда еще не видел эксплойт для столько разных ОС одновременно. Спасибо, Адоби.

Хочется, чтобы поскорее уж наступило то светлое будущее, в котором мы забудем, как кошмарный сон, это под завязку набитое багами, падениями и эксплойтами порождение криворуких садистов под названием "Флэш".

Comments

[crwrd.ru (from livejournal.com)]

Release date: September 13, 2010

We are in the process of finalizing a fix for the issue and expect to provide an update for Adobe Flash Player for Windows, Macintosh, Linux, Solaris, and Android operating systems during the week of September 27, 2010. We expect to provide updates for Adobe Reader 9.3.4 for Windows, Macintosh and UNIX, and Adobe Acrobat 9.3.4 for Windows and Macintosh during the week of October 4, 2010.

Ну что, смертнички, покатаемся?

[avva.livejournal.com]

Я хренею вообще.

"Adobe categorizes this as a critical issue."

September 27, 2010

a critical issue

September 27, 2010

Не, ну какие зайчики, а?

[aljuvialle.livejournal.com]

java applets никто не отменял. и работают они без дыр, как и раньше. Только java сделали настолько тормознутой и жрущей такое количество ресурсов, что просто удавиться хочется. Хорошо хоть денег платят за неё достаточно.

[dmarck.livejournal.com]

Ну, думаю, эксплойта общего таки нет, потому как общим там может быть только флеш байткод, а дальше-то нужно знать потроха.

Но легче от этого не становится

[avva.livejournal.com]

Это по сути один и тот же эксплойт. То, что у него должен быть разный шеллкод на разных системах - это уже мелочи, никого не остановит.

[dinozavrik.livejournal.com]

Ну а чем заменять-то?
И да, допустим, флеша нет, есть только HTML5, на нём все пишут, он работает в разных браузерах на разных движках... а теперь представьте, КАК несовместимо на самом деле это всё будет работать.

[migmit.livejournal.com]

> а теперь представьте, КАК несовместимо на самом деле это всё будет работать.

И как несовместимо оно работает?

[gaius-julius.livejournal.com]

вы ещё скажите что флешовые приложения на линуксах, маках и виндах работают одинаково, ага.

[salas.livejournal.com]

Ну да, светлое будущее ещё не наступило.

Но по сути — HTML4 так и работает, в разных браузерах и т.п. Конечно, проблем хватает. Но одно дело проблемы, а другое — единственный работающий движок от компании, знаменитой своей безответственностью.

[emdin.livejournal.com]

Смотря для чего. Для играния видео пока идеального решения нет (IE8, увы, ещё не сгорел в аду), а для всякой инфографики и лёгкой анимации уже можно брать SVG/VML библиотеки (Raphaël, например).

[migmit.livejournal.com]

Ну, Apple делает, что может, но пока убить флэш не удаётся.

[mtyukanov.livejournal.com]

Единственный раз, когда я подхватил вирус, -- это как раз через QuickTime, пару лет назад.

FYI:

[dmarck.livejournal.com]

Блокировка при помощи Microsoft EMET: http://blogs.technet.com/b/srd/archive/2010/09/10/use-emet-2-0-to-block-the-adobe-0-day-exploit.aspx

[blainemono.livejournal.com]

Никто не любит флэш =(

Зато там можно нарисовать квадрат, потом кликнуть по нему и сказать - теперь ты не квадрат, а класс, и будешь прыгать.

По-моему это такая прелесть, что плевать на кривизну, тормознутость и дыры.

[emdin.livejournal.com]

Это уже можно делать на javascript с неменьшим удовольствием.

[3d-object.livejournal.com]

Adobe - интересно, одна и та же команда делает гениальный Фотошоп и отстойный Флэш (туда же акробат ридер)?

[gaius-julius.livejournal.com]

я сильно сомневаюсь, что флеш и фотошоп делают одни и те же люди. В лучшем случае эти команды пересекаются на уровне топ-менеджмента Adobe.

[trurle.livejournal.com]

Хочется, чтобы поскорее уж наступило то светлое будущее, в котором мы забудем, как кошмарный сон, это под завязку набитое багами, падениями и эксплойтами порождение криворуких садистов под названием "Флэш".
И узнаем каков он, HTML 5!

[(Anonymous)]

Если бы. Как бы не пришлось узнавать, каков он, Сильверлайт.

[megazuzu.livejournal.com]

Экслойты, дыры, количество багов -- это дань моде.
Флеш есть везде, практически у всех пользователей. Поэтому интереснее ломать именно его.
Пока адекватной замены ему нет. Когда будет замена она станет такой же интересной для ломателей как и флеш и будет в ней столько же, а то и больше дыр.

если есть желание рассказать что HTML5 "это наше все" и замена флешу то это пока не так и врядли в ближайшую пятилетку будет.
Единственное чем HTML5 будет круче и надежнее - это тем что у него разные "плееры" в виде браузеров и ломать нужно каждый по отдельности.

Почему в винде столько дыр, а в линксах их мало? Просто линкс не интерсен массовым хакерам, вот они и не трогают его. Если вдруг что-то линусковое станет популярным и отъест 50+% пользователей, то сразу появится куча желающих искать и эксплуатировать его дыры.

зы. а Адоб все равно мудаки, но не из-за плеера, а по многим другим причинам.

[megazuzu.livejournal.com]

А еще адоб может таким образом стимулировать пользователей ради обновления плеера.

[meshko.livejournal.com]

А виноват во всем Сан (потому что флэш стал тем, чем должна была быть Ява)

[wakes-up.livejournal.com]

Не-не-не, виноват во всем Оракл!

[janatem.livejournal.com]

Что-то в духе java: encode once, exploit anywhere.

[joe-chip.livejournal.com]

В светлом будущем как раз такие штуки будут случаться чаще, т.к. все стремится к унификации. Не стоит делать крайним из-за этого адоб.

[dmpogo.livejournal.com]

Погодите, три месяца назад был не менее critical bug в 10.0, на что 10.1 была решением (и на чем исчез 64-битный флэш для Линукса) !

[malaya-zemlya.livejournal.com]

This vulnerability also affects Adobe Reader 9.3.4 for Windows, Macintosh and UNIX, and Adobe Acrobat 9.3.4 and earlier versions for Windows and Macintosh.

Какая дыра может быть дыра без участия Акробата!

[malaya-zemlya.livejournal.com]

Until further notice, it is no longer necessary to write out '0-day' when reporting on #Adobe vulnerabilities.

source

[zigmar.livejournal.com]

Флэш, это ппц, да. Я давеча реверс-енженирил протокол по которому флеш-плееры общаются между собой (LocalConnection, если кто знает), так это ппц полный. Выглядит как, как будту написали на коленки за выходные, да так и оставили. Там все инстансы флэш-плеера общаются с помощью одного куска shared memory и одного мьютекса. Причем память - это не очередь, а одно сообщение, и никаких мониторов тоже не предусмотрено - все смотрят на этот кусок в busy-loop, на предмет не пришло ли им чего нибудь. Причем пока сообщение не забрали - то все остальные ждут, а если тот, кому сообщение предназначено отвалился, то его по таймауту должен стереть тот, кто его послал. Если он сам в это время не умер - а если он тоже умер или завис - то всё, все флеш плееры на компьютере висят до перезагрузки.

[avva.livejournal.com]

ахахахаха
Какая прелесть :)

[http://users.livejournal.com/_winnie/]

> Хочется, чтобы поскорее уж наступило то светлое будущее,

( http://dobrokot.ru/pics/nya2010-09-16__21-48-40_43kb.jpg )

[xen0n.livejournal.com]

Ну дыра во флеше - это обычное дело. В современных браузерах во всех есть интерфейсь для подключения разных аддонов, и всегда будут дырявые аддоны.

Мне непонятно другое. Вот флеш - чисто ж изобразительно-декоративная штука. Почему не сделать интерфейс для флеша и подобных аддонов в виде сэндбокса без возможности влияния на систему? (вплоть до запуска в jail и общения с ним через сокет). Это будет уже гарантия, что ни один вирус не прорвется через дырку в аддоне (полагаем, что сам сэндбокс и системный jail написаны без дыр)

Почему злобный майкрософт такого не сделал - я могу предположить. Но почему для FF такого нет??