Компания Adobe выпустила (http://arstechnica.com/security/2014/02/adobe-releases-unsch.../) внеплановое обновление Flash-плагина, в котором устранена 0-day уязвимость, позволяющая организовать выполнение кода злоумышленника при обработке специально оформленного контента. Проблема исправлена в выпуске  Adobe Flash Player 11.2.202.336 для Linux, а также в свежем обновлении к браузеру Google Chrome. Всем пользователям рекомендуется срочно установить обновление (http://get.adobe.com/flashplayer/). Опасность уязвимости усугубляется тем, что она уже используется  во вредоносном ПО.

URL: http://threatpost.com/emergency-adobe-update-patches-flash-z...
Новость: http://www.opennet.me/opennews/art.shtml?num=39013

• Обновление Flash с устранением активно эксплуатируемой крити...,Кирилл, 12:18 , 05-Фев-14
  • Обновление Flash с устранением активно эксплуатируемой крити...,Аноним, 12:23 , 05-Фев-14
    • Обновление Flash с устранением активно эксплуатируемой крити...,Аноним, 15:18 , 05-Фев-14
    • Обновление Flash с устранением активно эксплуатируемой крити...,greenman, 15:29 , 05-Фев-14
    • Обновление Flash с устранением активно эксплуатируемой крити...,ананим, 16:47 , 05-Фев-14
  • Обновление Flash с устранением активно эксплуатируемой крити...,anon1, 13:05 , 05-Фев-14
    • Обновление Flash с устранением активно эксплуатируемой крити...,Аноним, 14:58 , 05-Фев-14
    • Обновление Flash с устранением активно эксплуатируемой крити...,Аноним, 18:14 , 05-Фев-14
      • Обновление Flash с устранением активно эксплуатируемой крити...,Аноним, 16:29 , 06-Фев-14
        • Обновление Flash с устранением активно эксплуатируемой крити...,Michael Shigorin, 17:02 , 06-Фев-14
        • Обновление Flash с устранением активно эксплуатируемой...,arisu, 09:35 , 09-Фев-14
      • Обновление Flash с устранением активно эксплуатируемой крити...,тут_был, 20:20 , 06-Фев-14
  • Обновление Flash с устранением активно эксплуатируемой крити...,mickvav, 13:21 , 05-Фев-14
    • Обновление Flash с устранением активно эксплуатируемой крити...,Трубовращатель, 13:37 , 05-Фев-14
      • Обновление Flash с устранением активно эксплуатируемой крити...,an0, 13:57 , 05-Фев-14
        • Обновление Flash с устранением активно эксплуатируемой крити...,Ivan, 15:09 , 05-Фев-14
          • Обновление Flash с устранением активно эксплуатируемой крити...,Аноним, 15:12 , 05-Фев-14
            • Обновление Flash с устранением активно эксплуатируемой крити...,ананим, 16:54 , 05-Фев-14
              • Обновление Flash с устранением активно эксплуатируемой крити...,Аноним, 16:34 , 06-Фев-14
          • Обновление Flash с устранением активно эксплуатируемой крити...,1, 18:09 , 05-Фев-14
          • Обновление Flash с устранением активно эксплуатируемой крити...,Трубовращатель, 20:46 , 05-Фев-14
        • Обновление Flash с устранением активно эксплуатируемой крити...,Евгений, 06:10 , 06-Фев-14
          • Обновление Flash с устранением активно эксплуатируемой...,arisu, 09:37 , 09-Фев-14
        • Обновление Flash с устранением активно эксплуатируемой крити...,anonymous, 09:54 , 06-Фев-14
      • Обновление Flash с устранением активно эксплуатируемой крити...,Я, 14:10 , 05-Фев-14
        • Обновление Flash с устранением активно эксплуатируемой крити...,Аноним, 15:16 , 05-Фев-14
          • Обновление Flash с устранением активно эксплуатируемой крити...,Я, 15:23 , 05-Фев-14
            • Обновление Flash с устранением активно эксплуатируемой...,arisu, 09:42 , 09-Фев-14
          • Обновление Flash с устранением активно эксплуатируемой крити...,dxd, 22:45 , 07-Фев-14
  • Обновление Flash с устранением активно эксплуатируемой крити...,anonymous, 14:18 , 05-Фев-14
    • Обновление Flash с устранением активно эксплуатируемой крити...,pavlinux, 14:53 , 05-Фев-14
  • Обновление Flash с устранением активно эксплуатируемой крити...,tamerlan311, 14:25 , 05-Фев-14
    • Обновление Flash с устранением активно эксплуатируемой крити...,pavlinux, 04:14 , 10-Фев-14
• Обновление Flash с устранением активно эксплуатируемой крити...,Аноним, 13:07 , 05-Фев-14
  • Обновление Flash с устранением активно эксплуатируемой крити...,my, 13:15 , 05-Фев-14
    • Обновление Flash с устранением активно эксплуатируемой крити...,Xasd, 14:36 , 05-Фев-14
      • Обновление Flash с устранением активно эксплуатируемой крити...,Аноним, 15:14 , 05-Фев-14
        • Обновление Flash с устранением активно эксплуатируемой крити...,Aceler, 16:53 , 05-Фев-14
      • Обновление Flash с устранением активно эксплуатируемой крити...,MPEG LA, 15:21 , 05-Фев-14
    • Обновление Flash с устранением активно эксплуатируемой крити...,Аноным, 15:50 , 05-Фев-14
• Обновление Flash с устранением активно эксплуатируемой крити...,ua9oas, 14:21 , 05-Фев-14
  • Обновление Flash с устранением активно эксплуатируемой крити...,Xasd, 14:38 , 05-Фев-14
    • Обновление Flash с устранением активно эксплуатируемой крити...,Аноним, 22:20 , 05-Фев-14
  • Обновление Flash с устранением активно эксплуатируемой крити...,Аноным, 15:51 , 05-Фев-14
    • Обновление Flash с устранением активно эксплуатируемой крити...,Аноним, 22:21 , 05-Фев-14
• Обновление Flash с устранением активно эксплуатируемой крити...,cmp, 16:10 , 05-Фев-14
  • Обновление Flash с устранением активно эксплуатируемой крити...,vi, 21:15 , 05-Фев-14
  • Обновление Flash с устранением активно эксплуатируемой крити...,Васька, 16:17 , 06-Фев-14
• Обновление Flash с устранением активно эксплуатируемой крити...,Клыкастый, 16:49 , 05-Фев-14
  • Обновление Flash с устранением активно эксплуатируемой крити...,Аноним, 17:21 , 05-Фев-14
    • Обновление Flash с устранением активно эксплуатируемой крити...,Аноним, 19:02 , 05-Фев-14
• Обновление Flash с устранением активно эксплуатируемой крити...,АнониМ, 20:36 , 05-Фев-14
  • Обновление Flash с устранением активно эксплуатируемой крити...,Аноним, 22:19 , 05-Фев-14

В линуксе можно вообще скрыть запуск каких-либо сервисов?
Вся система как на ладони же.

Чем больше гибкость системы, тем лучше можно запрятать свои изменения.

> Чем больше гибкость системы, тем лучше можно запрятать свои изменения.

Вывод: в качестве системы лучше всего использовать двутавровую балку. Поди ее еще согни...

во времена ДОС это называлось стелс-вирусами

Брехня. Softice'ом я пользовался еще тогда, когда про линух и не слышал.

Сама наивность, наличие исходного кода != безопасность

>наличие исходного кода != безопасность

В общем случае это так. В математике есть понятия "необходимые условия" и "достаточные условия". Так вот, наличие исходного кода является необходимым условием безопасности, но не является достаточным условием.
А в случае проприетарного кода, не выполняется даже необходимое условие :)

Но отсутствие исходного кода == небезопасность.

> Но отсутствие исходного кода == небезопасность.

Бездоказательно. Априорно это не следует, знаешь ли.

>> Но отсутствие исходного кода == небезопасность.
> Бездоказательно. Априорно это не следует, знаешь ли.

Это заведомое отсутствие безопасности, что и известно как небезопасность.  Аудит бинарников -- весьма ненадёжное дело уже достаточно давно.

[сообщение отредактировано модератором]

>> Но отсутствие исходного кода == небезопасность.
> Бездоказательно. Априорно это не следует, знаешь ли.

да следует, следует. открытый исходный код читает намного больше людей, нежели дизассемблер блобов. и понимать открытый исходный код проще. именно поэтому при прочих равных открытый код будет безопасней. а отсюда как раз и получается, что закрытый код — это небезопасность. *в данном случае* это синоним выражения «менее безопасен», хоть и не совсем корректно выбраный.

это подвид Security by Obscurity (или Security by Ostrich).
Несложно догадаться, что в итоге случается с проектами, которые пропагандируют такой подход.

Запросто - пишется модуль ядра, перехватывающий и фильтрующий все интересные системные вызовы - на просмотр списка процессов, на просмотр списка модулей, на просмотр директорий, на просмотр списка сокетов. Тогда факт зараженности можно установить либо по анализу трафика, либо уже внешними средствами - банальным антивирусом "снаружи" - по отключенному диску.

- Хорошее описание руткита выше. Кроме того, на заражённую утилиту может быть повешен immutable атрибут. После переустановки пакета снова проверьте CRC-суммы.
- Одобэ плешь не использую, ибо не нужен. 3акопaйте, в конце-то концов.

Не все котики на ютюбе доступны через html5

Ладно котики... когда я вижу в "энтерпрайзной" системе страницы, написанные на причудливой смеси jsp, ява-апплетов и флеша, да еще и с версткой на фреймах (привет лихие девяностые), мне хочется застрелиться.

Корпорасы тормозные, еще не всех древних быдлoкодеров от веба поувольняли.

Почему тормознутые? Просто идиoты.
Вон оракловый металинк сделали на флэшах совсем недавно.
Лет 5 тестировали и плевать им было на все матюги кастомеров.
Самое интересное, не успели запустить и тут бац, оракл покупает санки со всей жабой.

Ораклячий Металинк - кошмарный тормоз, но не потому, что на флэше. А потому, что на WebLogic (бывший BEA Logic) веб-серванте, коей написан на Java. Для портала планетарных масштабов оно, может, и самое оно.

не про NetApps ли ?

Да, рахловый ъынтырпайз-манагер, для 12с - польностью сделан на плеше.

> Не все котики на ютюбе доступны через html5

Все котики и собачки на ютюбе доступны почти в любом  нормальном видеоплеере:
1) mplayer $(youtube-dl -g link-to-youtube-video)
2) vlc link-to-youtube-video
3) totem link-to-youtube-video
и т.д. и  т.п.

> Все котики и собачки на ютюбе доступны почти в любом  нормальном
> видеоплеере:
> 1) mplayer $(youtube-dl -g link-to-youtube-video)

а mplayer2 и mpv умеют в libquvi вообще прямо из коробки.

> Не все котики на ютюбе доступны через html5

Умвр.
https://addons.mozilla.org/en-US/firefox/addon/youtube-flash...

Вы так говорите, будто сконцом эры флэша наступит "щастя".

Грядёт новая эра - эра развитого жабоскрипта, на котором можно писать плюшки повкуснее всяких флэшей. И вплетаемого в страницы так хитроумно, что скоро уже никакой ноускрипт не спасёт. Тогда припомните, как можно было простым движением убить ненавистный флэш.

> движением убить ненавистный флэш.

JS тоже простым движением в NoScript убивается. Ему все-равно как он там вплетен.

На опеннете да на ютубе? Иди эти сказки детям впаривай.

> На опеннете да на ютубе? Иди эти сказки детям впаривай.

выключен и там, и там. однако же и опеннет читаю, и ютуб смотрю. ЧЯДНТ?

Увы, заодно убивается весь контент.

Через LD_PRELOAD запросто.

А рута вам не дать?

да только в линуксе помимо поломанного флеша, нужно еще как-то root получить. Из-под юзерспейса руткит точно работать не будет.

> Из-под юзерспейса руткит точно работать не будет.

Если чо, то руткиты работают только из юзерспейса!  

Всем mozilla-боярам напоминаю про shumway - mozilla.github.io/shumway/, который уже может показать вам ваши любимые баннеры, а также запускать некоторые несложные игрушки.

А как там с flv? Показывает?

а где их взять? эти ваши flv :)

> а где их взять? эти ваши flv :)

Да на половине видеосервисов, хоть укачайся.

Вконтактик показывает, vimeo перешёл на светлую сторону, ютуб лечится расширением, что ещё?

http://youtube.com
внезапно

даже капча удивлена - 33233

Видео не показывает.

Почему же за столько лет его существования так и не удается найти ему достойную замену? (VP9 для этого годится?)

> Почему же за столько лет его существования так и не удается найти
> ему достойную замену? (VP9 для этого годится?)

VP9 как замена для SWF? да, конечно, конечно... :-) :-D

это тоже самое как в своё время MP3 заменил устаревший TXT\DOC [сунул наушники в ухо, и "читаешь" текст :)]

> VP9 как замена для SWF? да, конечно, конечно... :-) :-D

Ну да, рекламу в VP9 впихивать чуть сложнее. Не так гибко получается.

Не в замене дело, а в наследии, видео кругом на Флеше и не только, никто ничего менять не собирается, хоть Эдоб вообще свой Флеш забросит, так на нём куча всего и останется.

> Не в замене дело, а в наследии, видео кругом на Флеше и
> не только, никто ничего менять не собирается, хоть Эдоб вообще свой
> Флеш забросит, так на нём куча всего и останется.

Это называется Unix way: работает - не трогай.

Если обновление внеплановое, то почему эксплоит уже существует под все ОС и видимо уже даже где внедрялся.

> Если обновление внеплановое, то почему эксплоит уже существует под все ОС и
> видимо уже даже где внедрялся.

Вы у кого спрашиваете? У специалистов из АНБ? К ним есть другой вопрос.

А обновление вышло по причине того, что у Линуса на компе все сломали через эту уязвимость. Тот и стукнул кулаком по столу Эдобов, мол задрали мне мой новый SSD ронять. Или затыкайте или я Вас из ядра килять начну!

Вот уж действительно, проще закопать, чем залатать.

А как же счастливые фермеры и реклама на ютубе?

https://openfarmgame.com/

sudo update-flashplugin-nonfree --install

Проще поставить обычный пакет flashpalyer-mozilla из deb-multimedia, тогда оно будет обновляться так же, как и все остальные пакеты (собственно, еще вчера обновилось).