The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +/
Сообщение от opennews on 11-Ноя-11, 17:59 
Несколько недавно обнаруженных уязвимостей:


-  Вышел (http://googlechromereleases.blogspot.com/2011/11/stable-chan...) корректирующий релиз web-браузера Google Chrome (15.0.874.120) в котором устранено 7 уязвимостей, из которых 5 помечены как опасные. Среди уязвимостей не отмечено критических проблем, которые позволили бы обойти все уровни защиты браузера. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила исследователям безопасности 2000 долларов США (две премии по 500$ и одна премия в 1000$). Среди уязвимостей:


-  обращение к освобожденному блоку памяти в реализации кодека Theora;
-  выход за допустимые границы при обработке медиаконтейнеров MKV и Vorbis;
-  повреждение памяти при декодировании VP8; переполнение кучи в декодировщике Vorbis;
-  переполнение буфера к коде маппинга шейдеров;
-  обращение к освобождённой памяти при редактировании;
-  Устранение уязвимостей во Flash-...

URL:
Новость: http://www.opennet.me/opennews/art.shtml?num=32282

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


5. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +/
Сообщение от Andrew Kolchoogin on 11-Ноя-11, 18:07 
> В открытой библиотеке OpenPAM, используемой во FreeBSD, Dragonfly BSD, NetBSD
> и Mac OS X, найдена уязвимость, позволяющая локальному пользователю поднять
> свои привилегии в системе через организацию загрузки своей библиотеки с правами
> root во время загрузки сервисов PAM.

Шабака. :) Проверил -- работает. :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +3 +/
Сообщение от Аноним (??) on 11-Ноя-11, 18:13 
> Шабака. :) Проверил -- работает. :)

У кого на FreeBSD стоит KDE как правило единолично пользуется машиной, для многопользовательских систем дыра не страшна, мало кто будет ставить KDE на сервер :-)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +/
Сообщение от Andrew Kolchoogin on 11-Ноя-11, 18:19 
Ну, учитывая, что у меня не в jail'ах крутится разве что dhclient, получение uid 0 в jail'е -- не самое страшное зло. Хотя и неприятно, да.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +/
Сообщение от Andrew Kolchoogin on 11-Ноя-11, 18:21 
> У кого на FreeBSD стоит KDE

Да, и, к тому же, KDE'шный kcheckpass в эксплойте -- это же PoC (Proof of Concept). Есть и другие suid-root'ные программы, использующие PAM.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

18. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +/
Сообщение от Аноним (??) on 11-Ноя-11, 19:14 
>> У кого на FreeBSD стоит KDE
> Да, и, к тому же, KDE'шный kcheckpass в эксплойте -- это же
> PoC (Proof of Concept). Есть и другие suid-root'ные программы, использующие PAM.

Кроме kcheckpass я не нашел на вскидку suid-ных программ, дёргающих PAM. В базовой системе таких точно нет, а в портах разве что какие-нибудь GUI-конфигураторы.


Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

31. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +/
Сообщение от Andrew Kolchoogin on 12-Ноя-11, 15:38 
(Кхе-кхе) Интеллигентно так...

===
{1} user@host:~ $ ls -l /usr/bin/passwd
-r-sr-xr-x  2 root  wheel  8416 Oct 15 18:51 /usr/bin/passwd
{2} user@host:~ $ ldd /usr/bin/passwd
/usr/bin/passwd:
        libpam.so.5 => /usr/lib/libpam.so.5 (0x800647000)
        libc.so.7 => /lib/libc.so.7 (0x80074f000)
{3} user@host:~ $
===

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

43. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +/
Сообщение от Аноним (??) on 12-Ноя-11, 22:16 
А вы сможете passwd подсунуть свою so-шку?
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

48. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +/
Сообщение от Аноним (??) on 13-Ноя-11, 10:46 
> А вы сможете passwd подсунуть свою so-шку?

Хм. А что, LD_PRELOAD уже отменили?

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

50. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +1 +/
Сообщение от Аноним (??) on 13-Ноя-11, 10:56 
>> А вы сможете passwd подсунуть свою so-шку?
> Хм. А что, LD_PRELOAD уже отменили?

А LD_PRELOAD работает для суидных программ?

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

62. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +/
Сообщение от cubite on 16-Ноя-11, 20:14 
точно не работает
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

63. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +/
Сообщение от Аноним (??) on 17-Ноя-11, 09:35 
> точно не работает

Вот и я о том же, косяк есть - воспользоваться нельзя.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

10. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +2 +/
Сообщение от Аноним (??) on 11-Ноя-11, 18:22 
Дырка не в kde, дырка в PAM на самом деле. Указанный способ - лишь один из вариантов эксплуатации, не более.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

6. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +/
Сообщение от Карбофос (ok) on 11-Ноя-11, 18:12 
>устранено 12 уязвимостей

опять? пишем двенадцать, подразумеваем 400? o_O

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +7 +/
Сообщение от Аноним (??) on 11-Ноя-11, 18:36 
По-моему, адобу пора сменить уже торговую марку с флеша на дуршлаг.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

16. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +3 +/
Сообщение от Аноним (??) on 11-Ноя-11, 19:02 
а Микрософту с MS11-083?

http://technet.microsoft.com/en-us/security/bulletin/ms11-083

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

20. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +/
Сообщение от Аноним (??) on 11-Ноя-11, 19:35 
> а Микрософту с MS11-083?

А с такими дырами - можно переименоваться разве что в "дырку от бублика".

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

37. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +1 +/
Сообщение от Аноним (??) on 12-Ноя-11, 16:06 
>> а Микрософту с MS11-083?
> А с такими дырами - можно переименоваться разве что в "дырку от
> бублика".

Ничего вы не понимаете! Это не дыра, а инструментарий для удаленного администрирования.
Этакий OpenSSH с поправкой на microsoft-style.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

53. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +/
Сообщение от Аноним (??) on 13-Ноя-11, 22:12 
> Этакий OpenSSH с поправкой на microsoft-style.

Да уж. ComodoHacker'у такой "ssh" пришелся по вкусу...

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

13. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +/
Сообщение от RazrFalcon on 11-Ноя-11, 18:45 
Не пойму одного, как они находят эти уязвимости? В том же хроме.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +/
Сообщение от Анонимус_б6 on 11-Ноя-11, 18:52 
когда поймешь, будешь грести бабло лопатой, как тот же русский панк, которому гугл платит чуть не каждую неделю тыщами баксов
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

21. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +/
Сообщение от Аноним (??) on 11-Ноя-11, 21:29 
Такие смешные деньги - это называется "грести лопатой"?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

26. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +/
Сообщение от igron (ok) on 12-Ноя-11, 03:45 
Да, это называется "грести лопатой". Или скан свидетельства о регистрации твоего ТС в студию, если не согласен.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

35. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +4 +/
Сообщение от Аноним (??) on 12-Ноя-11, 16:03 
> Или скан свидетельства о регистрации твоего ТС в студию, если не согласен.

Наличие ТС - признак бедности. Действительно богатый человек ходит пешком, потому что никуда не спешит.


Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

36. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +3 +/
Сообщение от Аноним (??) on 12-Ноя-11, 16:04 
> Наличие ТС - признак бедности. Действительно богатый человек ходит пешком, потому что
> никуда не спешит.

И не пытается кому-то судорожно доказать наличие своего богатства, путем покупания дорогих ненужных побрякушек.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

25. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +/
Сообщение от Карбофос (ok) on 11-Ноя-11, 22:32 
фаззинг называется. в основном им крошат
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

22. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +/
Сообщение от Lui (??) on 11-Ноя-11, 21:39 
Squid - не представляю как это относится к уязвимостям, скорее к багам...
а дырка в PAM зачет )))
ждем когда флеш окончательно загнется, а то баги ппц (не флеш штука хорошая, но html 5 его заменит) и дыры заштопывают постоянно...
а Google Chrome как по сравнению других браузеров по безопасности ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  –3 +/
Сообщение от Аноним (??) on 12-Ноя-11, 04:01 
>но html 5 его заменит

Не заменит.
Как там на html5 с сайта сделать видеозвонок?

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

34. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +/
Сообщение от Аноним (??) on 12-Ноя-11, 16:02 
> Как там на html5 с сайта сделать видеозвонок?

Не надо пытаться засунуть в браузер абсолютно всю функциональность всех существующих программ.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

39. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  –3 +/
Сообщение от Crazy Alex (ok) on 12-Ноя-11, 17:08 
Ответ в стиле "не умеем - значит не нужно".
Честно говоря, если в разработку того же LightSpark был вбит 1% ресурсов, идущих на развитие HTML5, мы бы уже имели открытый кроссплатформенный плеер, работающий по сто лет как известным протоколам/стандартам. А так HTML5 будет в состоянии альфы, похоже, года три ещё. Кроме того, в нем скриптинг принципиально не может быть ограничен куском страницы - если загрузил скрипт, то он имеет доступ ко всему. На редкость бестолковая архитектура. Так что флеш (технологию, а не адобовские дыры) очень жаль.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

41. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM,..."  +1 +/
Сообщение от arisu (ok) on 12-Ноя-11, 21:22 
> Ответ в стиле «не умеем — значит не нужно».

нет. ответ в стиле «не надо микроскопом гвозди забивать. и не надо дорабатывать микроскоп до состояния, когда ним будет неудобно ни гвоздь забить, ни использовать его по прямому назначению.»

впрочем, это слишком сложно для 95% населения.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

45. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM,..."  +/
Сообщение от szh (ok) on 13-Ноя-11, 05:07 
нет. Ответ в стиле давайте вообще не забивать гвозди.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

46. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM,..."  +1 +/
Сообщение от arisu (ok) on 13-Ноя-11, 05:08 
> нет. Ответ в стиле давайте вообще не забивать гвозди.

…при помощи микроскопа.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

51. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM,..."  +/
Сообщение от szh (ok) on 13-Ноя-11, 12:36 
c помощью молотка похожего на микроскоп.
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

52. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM,..."  +/
Сообщение от arisu (ok) on 13-Ноя-11, 18:53 
> c помощью молотка похожего на микроскоп.

что тоже глупо. но если кому-то очень охота заниматься такими извращениями — пусть берёт любой браузер в исходниках и пилит туда, куда ему нравится. это не запрещено.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

59. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM,..."  +/
Сообщение от Аноним (??) on 14-Ноя-11, 15:55 
> c помощью молотка похожего на микроскоп.

"Вы ничего не понимаете! Это не микроскоп! Это такой молоток, сделанный в виде микроскопа. Для удобства" :D

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

47. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM,..."  +/
Сообщение от Аноним (??) on 13-Ноя-11, 10:43 
> нет. Ответ в стиле давайте вообще не забивать гвозди.

Где-то тут были призывы запретить скайп и SIP-клиенты, включая открытые?

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

49. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM,..."  +/
Сообщение от Аноним (??) on 13-Ноя-11, 10:50 
> нет. ответ в стиле «не надо микроскопом гвозди забивать.

Если рассматривать флеш как возможность реализации абсолютно всего прикладного ПО (от плеера и мессенджера до CAD и SCADA) внутри браузера (что и пытаются делать его сторонники), тот тут более уместной аналогий будет "забивать гвозди фаллоимитатором".

Все-таки, большинство микроскопов с задачей забивания гвоздей справляются достаточно неплохое, в отличие от.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

42. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM,..."  +1 +/
Сообщение от arisu (ok) on 12-Ноя-11, 21:23 
знаешь, откуда все твои стенания? оттуда, что ты пытаешься впихнуть невпихуемое. прекрати страдать о том, что html плохо применим для того, для чего его изначально применять не надо.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

57. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM,..."  +2 +/
Сообщение от Аноним (??) on 13-Ноя-11, 22:27 
> знаешь, откуда все твои стенания? оттуда, что ты пытаешься впихнуть невпиху емое.

Некоторые люди любят забивать микроскопом гвозди. Особо отборные даже гордятся тем после тренировки не так уж сильно проигрывают какому-нибудь хреновому и неудобному молотку.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

44. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +1 +/
Сообщение от Аноним (??) on 13-Ноя-11, 02:39 
> Ответ в стиле "не умеем - значит не нужно".

Ага. Вот, например, в современные мопеды почему-то не встраиваются промышленные буровые установки. Почему? Производители мопедов говорят - "нафиг не надо" Но мы-то знаем - им просто лень.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

56. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +1 +/
Сообщение от Аноним (??) on 13-Ноя-11, 22:23 
> Ага. Вот, например, в современные мопеды почему-то не встраиваются промышленные буровые
> установки. Почему? Производители мопедов говорят - "нафиг не надо"

Действительно. И в велосипеды не встраивают. Прямо всемирный заговор против буровых установок какой-то ;(.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

55. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +/
Сообщение от Аноним (??) on 13-Ноя-11, 22:21 
> идущих на развитие HTML5, мы бы уже имели открытый кроссплатформенный плеер,
> работающий по сто лет как известным протоколам/стандартам.

На кой буй нам плеер БЕЗ ИНСТРУМЕНТОВ АВТОРИНГА под него?

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

54. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +/
Сообщение от Аноним (??) on 13-Ноя-11, 22:20 
> Как там на html5 с сайта сделать видеозвонок?

Было б оно кому-то всерьез надо - давно бы уже сделали. А юзкейсы нужные десятку особо ушибленных на голову господ на всю планету - сами понимаете каким приоритетом идут. Ну вот пусть кому такой юзкейс реально зудит в Ж - ставит себе флеш и пользуеся им наздоровье.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

60. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +/
Сообщение от Аноним (??) on 15-Ноя-11, 16:36 
>А юзкейсы нужные десятку особо ушибленных на голову господ на всю планету - сами понимаете каким приоритетом идут.

Видеозвонки не нужны? А что нужно копье и лучина?
Hangout-ами в g+ например пользуются ежедневно миллионы людей.

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

61. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM,..."  –1 +/
Сообщение от arisu (ok) on 15-Ноя-11, 19:15 
> Видеозвонки не нужны?

в браузере — не нужны. я понимаю, что тебе трудно это понять.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

64. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +/
Сообщение от Аноним (??) on 17-Ноя-11, 20:54 
> Hangout-ами в g+ например пользуются ежедневно миллионы людей.

Источник статистики? С пруфлинком?

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

58. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +/
Сообщение от Аноним (??) on 14-Ноя-11, 01:05 
> Не заменит.
> Как там на html5 с сайта сделать видеозвонок?

We'll see about that. Например, есть такая штука от гугля - http://www.webrtc.org/

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

23. "Уязвимости в Chrome, Adobe Flash, Apache, vtiger CRM, Squid,..."  +/
Сообщение от Аноним (??) on 11-Ноя-11, 21:59 
>В корректирующих выпусках мультимедиа пакета FFmpeg 0.7.7 и 0.8.6 устранено 37 уязвимостей, среди которых присутствуют критически проблемы, позволяющие добиться выполнения кода в системе при обработке специально оформленного контента в различных форматах;

Прямо поразительно, каждый раз одно и то же. Они что, доверяют входным данным? Бред какой-то. :Е

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру