URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 87721
[ Назад ]

Исходное сообщение
"Обновление Chrome 23.0.1271.97 с устранением критической уяз..."

Отправлено opennews , 12-Дек-12 12:54 
Компания Google представила (http://googlechromereleases.blogspot.ru/2012/12/stable-chann...) корректирующий выпуск web-браузера Chrome 23.0.1271.97, в котором устранено 6 уязвимостей и представлена порция исправлений ошибок. Одной из уязвимостей присвоен статус критической проблемы, позволяющей обойти все уровни защиты браузера. Критическая проблема (CVE-2012-5142) выявлена сотрудниками Google и проявляется в выходе за границы буфера при выполнении операций по работе с историей посещений.


Три уязвимости отнесены к категории опасных проблем: две уязвимости вызваны обращением к области памяти после её освобождения и одна проблема связана с повреждением стека при декодировании специально оформленного контента в формате AAC. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила исследователям безопасности 4500 долларов (по одной премии, размером 2000$, 1500$ и 1000$).


Из не связанных с безопасностью проблем отмечается устранение ошибки с обрезанием краёв текста во всплывающем диалоге с настройками сайта. На платформе Linux устранены проблемы отображения текста в секциях input для некоторых web-приложений, что приводило к  показу выделенного контента белым цветом на белом фоне. Решены проблемы с нарушением работоспособности некоторых плагинов. Устранены проблемы, специфичные для платформы Windows 8. В новой версии Chrome также произведелно обновление версии поставляемого в составе браузера плагина Adobe Flash, в котором  проведена (http://helpx.adobe.com/en/flash-player/release-note/fp_115_a...) работа над ошибками.


Кроме того, можно отметить возникновение в понедельник интересного
эффекта (http://www.h-online.com/open/news/item/Cloud-synchronisation...), который привёл к массовым крахам браузера Chrome при выполнении попытки синхронизации данных. Причиной проблемы стало изменение (https://code.google.com/p/chromium/issues/detail?id=165171#c27) конфигурации балансировщика нагрузки, что привело к выходу из строя ряда компонентов инфраструктуры Google (например, наблюдалась неработоспособность Gmail). В качестве реакции система защиты от сбоев в процессе сеанса синхронизации задала в том числе и новые параметры квот для использования на стороне клиента. Подобные квоты выставляются в привязке к типу синхронизируемых данных, но в данном случае была выбрана опция использования квоты для всех типов сразу, что было некорректно разобрано браузером и привело к его краху.


URL: http://googlechromereleases.blogspot.ru/2012/12/stable-chann...
Новость: http://www.opennet.me/opennews/art.shtml?num=35575


Содержание

Сообщения в этом обсуждении
"Обновление Chrome 23.0.1271.97 с устранением критической уяз..."
Отправлено pavlinux , 12-Дек-12 12:54 
> задала в том числе и новые параметры квот для использования на стороне клиента.

А им кто-то разрешал, рулить параметрами на моём компе?


"Обновление Chrome 23.0.1271.97 с устранением критической уяз..."
Отправлено Аноним , 12-Дек-12 18:54 
> А им кто-то разрешал, рулить параметрами на моём компе?

Корпорация добра лучше знает что тебе нужно. А кто не согласен - ну ты в курсе, да?


"Обновление Chrome 23.0.1271.97 с устранением критической уяз..."
Отправлено followme , 16-Дек-12 16:20 
Вы разрешали. Или вы пользовательское соглашение приняли не читая ?

"Обновление Chrome 23.0.1271.97 с устранением критической уяз..."
Отправлено flvby1 , 12-Дек-12 13:52 
кто-нибудь в курсе, попадают ли такие исправления в chromium?

"Обновление Chrome 23.0.1271.97 с устранением критической уяз..."
Отправлено demimurych , 12-Дек-12 14:01 
Все что касается web kit в обязательно порядке.

"Обновление Chrome 23.0.1271.97 с устранением критической уяз..."
Отправлено Аноним , 12-Дек-12 14:35 
что-то не слышно про тюменца - "спеца" по уязвимостям хрома

"Обновление Chrome 23.0.1271.97 с устранением критической уяз..."
Отправлено Deluxe , 12-Дек-12 17:48 
> В новой версии Chrome также произведелно обновление версии поставляемого в составе браузера плагина Adobe Flash, в котором проведена работа над ошибками.

Это сизифов труд, потому что ошибки в Adobe Flash не закончатся никогда. Когда одна исправляется, на её месте появляются три новые, подобно тому как у гидры вместо отрубленной головы вырастают три.

Почему так? Предположим, разработчики сделали допиленный продукт. Отшлифовали, отполировали. Что дальше? Разрабочики больше не нужны.

А вот если продукт сырой, глючный, состоящий из ошибок, то разработчики продолжают получать зарплату, исправляют ошибки и уязвимости. Но не все сразу, а порциями, чтобы продержаться на плаву подольше.

Лечится очень просто: YouTube всем поголовно принудительно включает HTML5/webm и посылает Flash лесом. Хомячки, может, неделю попищат недовольно, но всё равно как миленькие скачают браузер с поддержкой HTML5.

Ну а всякие онлайн-игры на флэше и так многими здравомыслящими людьми бойкотируются.


"Обновление Chrome 23.0.1271.97 с устранением критической уяз..."
Отправлено Аноним , 12-Дек-12 18:46 
Поддерживаю! Единственное что заставляет держать на компе флеш, так это вконтакте, где без флеша видео не посмотреть.

"Обновление Chrome 23.0.1271.97 с устранением критической уяз..."
Отправлено Аноним , 12-Дек-12 18:55 
> Поддерживаю! Единственное что заставляет держать на компе флеш, так это вконтакте

Как по мне так лучше всего избавиться от обоих. Меньше проблем. Да и вообще, неприятно когда тобой торгуют как стеклотарой.


"Обновление Chrome 23.0.1271.97 с устранением критической уяз..."
Отправлено freehck , 13-Дек-12 13:33 
Это еще что - там без флеша не то, что видео не посмотреть, а даже файлик другу не выслать. Я уже не говорю о загрузке фотографий.

"Обновление Chrome 23.0.1271.97 с устранением критической уяз..."
Отправлено ghcgjhcg , 12-Дек-12 19:07 
>Компания Google представила корректирующий выпуск web-браузера Chrome 23.0.1271.97, в котором устранено 6 уязвимостей и представлена порция исправлений ошибок

Это сизифов труд, потому что ошибки в Chrome не закончатся никогда. Когда одна исправляется, на её месте появляются три новые, подобно тому как у гидры вместо отрубленной головы вырастают три.

Почему так? Предположим, разработчики сделали допиленный продукт. Отшлифовали, отполировали. Что дальше? Разрабочики больше не нужны.

А вот если продукт сырой, глючный, состоящий из ошибок, то разработчики продолжают получать зарплату, исправляют ошибки и уязвимости. Но не все сразу, а порциями, чтобы продержаться на плаву подольше.


"Обновление Chrome 23.0.1271.97 с устранением критической уяз..."
Отправлено Michael , 12-Дек-12 19:35 
ОМФГ, я как понимаю вы никогда не работали в софтверной компании и вообще даже близко не стояли рядом с разработчиками софта?

"Обновление Chrome 23.0.1271.97 с устранением критической уяз..."
Отправлено Framework , 12-Дек-12 19:43 
Вы забываете объёмы кода этого браузера и кол-во разработчиков. Плюс сторонние компоненты, на работу которых влиять ещё сложнее.

"Обновление Chrome 23.0.1271.97 с устранением критической уяз..."
Отправлено анон , 13-Дек-12 07:05 
родовые проблемы с C/C++ дают себя знать с переполнением буфера. работой с кучен. у них же Go есть. возможно пока медленней. может D. или просто GC

"Обновление Chrome 23.0.1271.97 с устранением критической уяз..."
Отправлено медведко , 13-Дек-12 07:21 
Не хочу показаться троллем, но я шоке с Убунты. Она уже превратилась в винду с обновлениями через полгода после обнаружения дырок. До сих пор 22-я версия хромиума и никаких телодвижений. Хотя, дже репка proposed стоит (и security, разумеется).

Домашний комп перетащил на Арч, там Хромиум обновился в тот же день. Но rolling release для рабочих компов - не торт :(


"Обновление Chrome 23.0.1271.97 с устранением критической уяз..."
Отправлено taaroa , 13-Дек-12 07:43 
> Не хочу показаться троллем, но я шоке с Убунты. Она уже превратилась в винду с обновлениями через полгода после обнаружения дырок. До сих пор 22-я версия хромиума и никаких телодвижений

Thanks for taking the time to report this bug and helping to make Ubuntu better. Since the package referred to in this bug is in universe or multiverse, it is community maintained. If you are able, I suggest coordinating with upstream and posting a debdiff for this issue. When a debdiff is available, members of the security team will review it and publish the package. See the following link for more information: https://wiki.ubuntu.com/SecurityTeam/UpdateProcedures

© Ubuntu Security Team


"Обновление Chrome 23.0.1271.97 с устранением критической уяз..."
Отправлено медведко , 13-Дек-12 08:48 
Это геморный и долгий процесс, который нельзя автоматизировать. Т.е. постоянно что-то надо ручками делать не только maintainer-ам, но и добровольцам. Вывод: в консерватории не всё в
порядке.

Тот же Alex Shkop зачем-то придумал свою репку (ppa:a-v-shkop/chromium), а не коммитить debdiff-ы. О чём-то говорит.