Компания Adobe выпустила (http://helpx.adobe.com/security/products/flash-player/apsb14...) внеплановое обновление Flash-плагина, в котором устранены три критические уязвимости  
(CVE-2014-0498, CVE-2014-0499, CVE-2014-0502), две из которых позволяют организовать выполнение кода злоумышленника при обработке специально оформленного контента. Среди проблем имеется 0-day уязвимость (CVE-2014-0502), для которой уже зафиксировано (http://www.fireeye.com/blog/technical/targeted-attack/2014/0...) появление в сети вредоносного ПО, уже около недели поражающего системы пользователей. Вредоносное ПО распространялось со взломанных сайтов нескольких крупных институтов и фондов. Проблема исправлена в выпуске  Adobe Flash Player 11.2.202.341 для Linux, а также в свежем обновлении к браузеру Google Chrome. Всем пользователям рекомендуется срочно установить обновление (http://get.adobe.com/flashplayer/).

URL: http://helpx.adobe.com/security/products/flash-player/apsb14...
Новость: http://www.opennet.me/opennews/art.shtml?num=39143

• Обновление Adobe Flash Player с устранением 0-day уязвимости...,A.Stahl, 23:57 , 20-Фев-14
  • Обновление Adobe Flash Player с устранением 0-day уязвимости...,АнонимЧЕГ, 00:31 , 21-Фев-14
    • Обновление Adobe Flash Player с устранением 0-day уязвимости...,Аноним, 00:40 , 21-Фев-14
      • Обновление Adobe Flash Player с устранением 0-day уязвимости...,Аноним, 03:23 , 21-Фев-14
        • Обновление Adobe Flash Player с устранением 0-day уязвимости...,Аноним, 08:00 , 21-Фев-14
          • Обновление Adobe Flash Player с устранением 0-day уязвимости...,Аноним, 08:57 , 21-Фев-14
            • Обновление Adobe Flash Player с устранением 0-day уязвимости...,Аноним, 14:40 , 21-Фев-14
              • Обновление Adobe Flash Player с устранением 0-day уязвимости...,Аноним, 18:30 , 21-Фев-14
            • Обновление Adobe Flash Player с устранением 0-day уязвимости...,Аноним, 18:04 , 21-Фев-14
            • Обновление Adobe Flash Player с устранением 0-day уязвимости...,ffirefox, 19:04 , 06-Мрт-14
  • Обновление Adobe Flash Player с устранением 0-day уязвимости...,Aquila, 10:22 , 21-Фев-14
  • Обновление Adobe Flash Player с устранением 0-day уязвимости...,tnijo, 12:35 , 21-Фев-14
• Обновление Adobe Flash Player с устранением 0-day уязвимости...,Анонище, 01:14 , 21-Фев-14
• Обновление Adobe Flash Player с устранением 0-day уязвимости...,Сергей, 02:44 , 21-Фев-14
  • Обновление Adobe Flash Player с устранением 0-day уязвимости...,LeD, 11:38 , 21-Фев-14
  • Обновление Adobe Flash Player с устранением 0-day уязвимости...,Аноним, 14:41 , 21-Фев-14
• Обновление Adobe Flash Player с устранением 0-day уязвимости...,Аноним, 05:25 , 21-Фев-14
  • Обновление Adobe Flash Player с устранением 0-day уязвимости...,Аноним, 18:28 , 21-Фев-14
• Обновление Adobe Flash Player с устранением 0-day уязвимости...,AnonuS, 05:31 , 21-Фев-14
  • Обновление Adobe Flash Player с устранением 0-day уязвимости...,Аноним, 05:34 , 21-Фев-14
• Обновление Adobe Flash Player с устранением 0-day уязвимости...,commiethebeastie, 07:47 , 21-Фев-14
  • Обновление Adobe Flash Player с устранением 0-day уязвимости...,Аноним, 08:04 , 21-Фев-14
    • Обновление Adobe Flash Player с устранением 0-day уязвимости...,commiethebeastie, 08:17 , 21-Фев-14
    • Обновление Adobe Flash Player с устранением 0-day уязвимости...,Аноним, 08:54 , 21-Фев-14
      • Обновление Adobe Flash Player с устранением 0-day уязвимости...,Аноним, 18:26 , 21-Фев-14
    • Обновление Adobe Flash Player с устранением 0-day уязвимости...,Аноним, 17:03 , 21-Фев-14
      • Обновление Adobe Flash Player с устранением 0-day уязвимости...,Аноним, 18:27 , 21-Фев-14

>...выпустила внеплановое обновление... в котором устранены...

Java и Flash. Они такие разные, но что-то их всё-таки объединяет...

Жопорукость?

> Жопорукость?

Это вы еще анонсов Firefox не читали :)

На фоне явы и флеша файрфокс выглядит довольно безобидно. У мозиллы хватает ума выкупать баги. Как и у гугла. А вот одоба и оракл получают сплойты на черный рынок, ну и далее наступает pwnage.

>  одоба и оракл

Если рассматривать фирмую как совокупность сотрудников (ведь мы же рассматриваем в таком ключе олимпийскую сборную России по хоккею), то вряд ли кого-то из них персонально волнует качество кода (исключительно карьера и деньги). Качественный код можно получить только если программист работает за интерес.

Следовательно, избавляться нужно от проприетерщины.

Та шо вы говорыте.

А в остальных отраслях народного хозяйства как-то умудряются без интереса. Банальным отделом контроля качества, находящимся вне подчинения производству.

Бизнес требует снижения издержек. Контроль качества - это лишние затраты. Если разработчики сказали, что у них все работает - значит, можно в продакшен. А если пользователи будут бухтеть - пусть отдел маркетинга их успокоит (его-то полюбому держать надо).

> Бизнес требует снижения издержек. Контроль качества - это лишние затраты.

Более того - если делать на совесть, допинать инженегров которые это выпускают до нормального качества займет столько времени что бизнес склеит ласты от отсутствия бабла. Поэтому вываливают как есть, убедившись что руки-ноги целы и голова вроде не отваливается. При необходимости кой-как пришив белыми нитками и выгнав пинками в релиз.

> контроля качества, находящимся вне подчинения производству.

Как представитель контроля качества могу заметить что сколько негра на плантации не пинай, работать хорошо он не станет. Поэтому качество проприетари обычно оставляет желать.

Дело в том что если пытаться наймитов дожать до нормального качества, релиз не состоится никогда! Поэтому для себя я предпочитаю открытый софт: когда люди пишут для себя, халтурить им совершенно ни к чему. Уж себя то не обманешь...

Оставлю это специально для Вас:
"Если бы строители строили дома так же, как программисты пишут программы, первый залетевший дятел разрушил бы всю цивилизацию."

"If builders built houses the way programmers built programs, the first woodpecker to come along would destroy civilization"  (Gerald Weinberg)

И тот и другой дуршлаг для макарон.

Созданы друг для друга!

Не очень понял про aslr: обход aslr возможен из-за реализации рандомизации в мастдае или вообще в целом?

Оперативно надо сказать. В репозитории Ubuntu уже обновление есть.

Держите нас в курсе!

> Оперативно надо сказать. В репозитории Ubuntu уже обновление есть.

Из deb-multimedia поди стащили :)

А тем временем Shumway обновился до версии 0.8.162

> А тем временем Shumway обновился до версии 0.8.162

Если эмулировать тормозной флеш на тормозном JS - получается тормоз в квадрате.

> ... Вредоносное ПО распространялось со взломанных сайтов нескольких крупных институтов и фондов ...

Вроде бы не слышно было чтобы "ТыТуб" подломили.

Дитё, сайты ломают не через флеш, через флеш ломают посетителя взломанного сайта.

Я поставил pipelight и оно работает лучше линуксовского флеша, я в шоке.

> Я поставил pipelight и оно работает лучше линуксовского флеша, я в шоке.

Wine тоже поставил? Может, сразу венду уж?

Ну да, оно за собой вайн тащит.

А чем плохо? Маленькую скромную винду в отдельной огороженной бетоном VM, чисто для проприетарных извращений типа флэша.

> для проприетарных извращений типа флэша.

Тем что оно все-равно превратится в рассадник заразы, etc. К тому же еще и атаки на виртуализаторы бывают.

в хроме вполне нормальный свеженький флеш встроен, например

> в хроме вполне нормальный свеженький флеш встроен, например

Зонд от зонда недалеко падает.