The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

11.01.2018 23:51  21 неисправленная уязвимость в системе 3D-моделирования Blender

В результате аудита кодовой базы свободной системы 3D-моделирования Blender исследователями безопасности из компании Cisco выявлена 21 уязвимость. Уязвимость позволяют атакующему выполнить произвольный код при открытии в Blender специально подготовленных файлов в различных форматах. В том числе уязвимости затрагивают обработчики данных в форматах png, tiff, bmp, avi, blend, iris, cin и hdr.

Примечательно, что на предложение исследователей оперативно выпустить обновление с устранением уязвимостей, разработчики Blender в сентябре отказались решать проблемы в экстренном порядке, поэтому уязвимости остаются неисправленными и после истечения 90-дневного эмбарго информация о них теперь опубликована. Более того, разработчики скептически относятся к угрозе атаки на системы пользователей через Blender, считая, что открытие файла в Blender можно рассматривать как запуск файла интерпретатором Python, т.е. пользователь должен использовать контент только из проверенных источников.

  1. Главная ссылка к новости (http://blog.talosintelligence....)
  2. OpenNews: Новая версия свободной системы 3D-моделирования Blender 2.79
  3. OpenNews: Обновление свободной системы 3D-моделирования Blender 2.78b
  4. OpenNews: Новая версия свободной системы 3D-моделирования Blender 2.78
  5. OpenNews: Подготовленный сообществом Blender мультфильм победил на фестивале SIGGRAPH 2016
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: blender
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, pavlinux (ok), 00:07, 12/01/2018 [ответить] [показать ветку] [···]    [к модератору]
  • –2 +/
    >  в форматах png, tiff, bmp, avi,

    Казало бы, онанизм безвреден, ан нет, может стать, что проститутки менее вредные.    

     
     
  • 2.5, Аноним (-), 00:38, 12/01/2018 [^] [ответить]    [к модератору]
  • +/
    А что не так с png?
     
     
  • 3.9, Аноним (-), 01:56, 12/01/2018 [^] [ответить]    [к модератору]
  • +10 +/
    Попробую расшифровать иронию. Казалось бы, такие простые форматы/контейнеры/кодеки, существующие черт знает сколько лет, ан нет, обосрамс не спит и так норовит навалиться в штанишки кодеров.
     
     
  • 4.25, Аноним (-), 08:40, 12/01/2018 [^] [ответить]    [к модератору]
  • –7 +/
    си, сэр
     
     
  • 5.31, QuAzI (ok), 09:53, 12/01/2018 [^] [ответить]     [к модератору]
  • +2 +/
    Не ссы, сэр В других языках на подобных комбайнах надо стотыщгигабайт прокачать... весь текст скрыт [показать]
     
     
  • 6.33, iZEN (ok), 09:57, 12/01/2018 [^] [ответить]     [к модератору]  
  • –4 +/
    На JavaME кодек PNG умудрялись на Nokia запускать, которая больше 128 килобайт j... весь текст скрыт [показать]
     
     
  • 7.40, Аномномномнимус (?), 11:51, 12/01/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Какой кодек Который отрисовывал 64x64 пикселя полчаса Ну ка покажи софт уровня... весь текст скрыт [показать]
     
     
  • 8.61, iZEN (ok), 23:23, 12/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Кодек, который манипулирует изображениями в формате PNG, для работы со спрайтами... весь текст скрыт [показать]
     
     
  • 9.81, Аномномномнимус (?), 15:51, 15/01/2018 [^] [ответить]    [к модератору]  
  • +/
    И на которой из J2ME Нокий твой JPatch пойдёт? И сколько лет его ещё костылить до уровня блендера всем Китаем?
     
     
  • 10.84, Ю.Т. (?), 16:23, 15/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > И на которой из J2ME Нокий твой JPatch пойдёт? И сколько лет
    > его ещё костылить до уровня блендера всем Китаем?

    Крайнему релизу Jpatch 13-14 лет. Скоро в армию пойдёт.

     
     
  • 11.85, Аномномномнимус (?), 19:15, 15/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Unreal Engine 20 лет в строю C , множество платформ, тысячи игр, быстрый и мес... весь текст скрыт [показать]
     
  • 5.73, Аноним (-), 07:18, 13/01/2018 [^] [ответить]    [к модератору]  
  • +/
    А запускает питон и проблема в питоне. Правда странно?
     
  • 4.32, iZEN (ok), 09:55, 12/01/2018 [^] [ответить]    [к модератору]  
  • –17 +/
    Это Си. Чего вы хотите от гальванизируемого трупа, который воняет вот уже 45 лет?
     
     
  • 5.35, Аноним (-), 10:23, 12/01/2018 [^] [ответить]    [к модератору]  
  • +11 +/
    Изя, ну выкинь тогда свою FreeBSD, она ж пока ещё на C написана, а не на "безопасной" Жабе.
     
     
  • 6.59, ы (?), 18:37, 12/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Пускай лучше от досады застрелится
     
     
  • 7.62, _ (??), 23:47, 12/01/2018 [^] [ответить]    [к модератору]  
  • +6 +/
    В голову то он попадёт ... а в моск - нет! :-))))
     
     
  • 8.70, ы (?), 01:29, 13/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    В моск не попадёт, мож хоть жабу пристрелит
     
  • 8.74, Аноним (-), 07:20, 13/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Будет стрелять в голову, в результате прострелит ногу, потому что не умеет в С ... весь текст скрыт [показать]
     
  • 6.67, Аноним (-), 01:06, 13/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Он говорит об энтерпрайзе, а не об узких железячных задачах. В приницпе условно и Сpp да и сама Java - предсмертно разбухла в этом смысле.
     
  • 4.78, Аноним (-), 19:18, 13/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Не понял? Это форматы виноваты?
     
     ....нить скрыта, показать (19)

  • 1.2, Аноним (-), 00:10, 12/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Мой чёрный список разработчиков стал на одну строчку длиннее.
     
     
  • 2.34, Аноним (-), 10:04, 12/01/2018 [^] [ответить]    [к модератору]  
  • +7 +/
    Как будто это на что-то повлияет. В этом же списке интел и амд должны быть, не верю что соскочите на что-то другое.
     
     
  • 3.79, Аноним (-), 19:21, 13/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Останется только ноутбук Столлмана с установленной на нём Emacs OS и заметьте, никаких броузеров!


     
  • 2.58, Аноним (-), 18:27, 12/01/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    Какой не политкорректный комментарий.
     
  • 2.75, Аноним (-), 07:21, 13/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Добавляй весь софт и хардвар заранее, не ошибёшься.
     
  • 1.3, waylandbeliver (ok), 00:13, 12/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Вот блендер и стал популярным
     
     
  • 2.7, Аноним (-), 01:13, 12/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Просто недовольные дауны не способны потратить кучу своего времени на закрытие так называемых "дыр", а думают что это будут делать разрабы. Опен сорс - бери и исправляй, раз так тебе это важно
     
  • 2.8, Sluggard (ok), 01:38, 12/01/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Признак популярности — это не наличие уязвимостей в ПО (они есть почти всегда и почти везде), а наличие готовых и используемых эксплойтов под эти уязвимости.

     
     
  • 3.54, scorry (ok), 15:37, 12/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Я-то думал, что признак популярности — количество пользователей.
     
     
  • 4.60, Sluggard (ok), 21:23, 12/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > Я-то думал, что признак популярности — количество пользователей.

    Это само  собой, я отвечал в контексте наличия уязвимостей. Наверное, стоило уточнить, пардоннэ муа.

     
  • 1.4, Stop (?), 00:29, 12/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –4 +/
    White and soft CISCO... do you trust them?
     
     
  • 2.6, Константавр (ok), 01:02, 12/01/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    Ду ю рили синьк ю кин спик инглиш?
     
     
  • 3.37, Аноним (-), 11:17, 12/01/2018 [^] [ответить]    [к модератору]  
  • +/
    ноу
     
  • 1.11, prokoudine (??), 02:51, 12/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +7 +/
    Blender 2.80 должен был выйти в 2016 году, а нынче уже 2018 и ещё даже беты нет. Нежелание Розендала тратить время на исправление ошибок такого рода можно понять.
     
     
  • 2.12, Максим (??), 02:56, 12/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    В 2016 они его даже не пилили - только переписывали код, чтобы работать с OpenGL 3.3 core.
    В начале 2017 они только это дело завершили.
     
     
  • 3.16, prokoudine (??), 05:05, 12/01/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    https code blender org 2015 07 blender-2-8-the-workflow-release Just like fo... весь текст скрыт [показать]
     
  • 2.14, anonymous (??), 03:36, 12/01/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    Блендер это как мешок картошки бесформенный Слишком большой порог вхождения, сл... весь текст скрыт [показать]
     
     
  • 3.51, Iaaa (ok), 13:19, 12/01/2018 [^] [ответить]    [к модератору]  
  • –8 +/
    У меня семилетний сын за два дня с помощью ютуба научился моделировать людей.

    Если для вас в блендер слишком большой порог вхождения, то боюсь, даже букварь окажется недоступным талмудом.

     
     
  • 4.52, Организация Объединённых Тюленей (?), 14:43, 12/01/2018 [^] [ответить]    [к модератору]  
  • +7 +/
    Имелся в виду порог вхождения для разработчиков Blender'а.

    искренне ваш, и.о. К.О.

     
  • 4.71, angra (ok), 02:24, 13/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Даже если оставить в стороне то, что имелось ввиду вхождение как разработчика, а... весь текст скрыт [показать]
     
  • 4.76, Аноним (-), 14:08, 13/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Кажется, я видел работы вашего сына на порнхабе, в разделе 3D Animation.
     
  • 2.50, Аноним (-), 13:17, 12/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > Нежелание Розендала тратить время на исправление ошибок такого рода можно понять.

    Нежелание кого бы то ни было исправлять такие ошибки нельзя простить.

     
     
  • 3.68, prokoudine (ok), 01:08, 13/01/2018 [^] [ответить]    [к модератору]  
  • +/
    А можно просто патч прислать.
     
  • 1.13, Аноним (-), 03:24, 12/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +7 +/
    Так и вижу емейл - это я твой друг, открой вот этот блендер файл, посмотри фоточки с отдыха
     
  • 1.15, Аноним (-), 05:01, 12/01/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    На сколько сложно закрыть хотя бы одну из этих дыр например связанную с PNG... весь текст скрыт [показать]
     
     
  • 2.17, prokoudine (??), 05:10, 12/01/2018 [^] [ответить]     [к модератору]  
  • +4 +/
    Сами патчи скорее всего будут не очень большими Для примера https git gnome ... весь текст скрыт [показать]
     
     
  • 3.65, Michael Shigorin (ok), 00:28, 13/01/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Сайт -- не патч, однако...
     
     
  • 4.69, prokoudine (ok), 01:09, 13/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > Сайт -- не патч, однако...

    У них там и патч был к паре багрепортов. Один сразу применили, второй подзабылся, ЕМНИП.

     
  • 1.18, Аноним (-), 05:19, 12/01/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    открытие файла в Blender можно рассматривать как запуск файла интерпретатором P... весь текст скрыт [показать]
     
     
  • 2.29, QuAzI (ok), 09:48, 12/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Интернет и твой локальный файл никак не связаны. Ты не понимаешь как это работает и как работает распространение завирусованного контента через веб. Фигня какая-то
     
     
  • 3.42, tizen (?), 12:03, 12/01/2018 [^] [ответить]    [к модератору]  
  • –1 +/
      Любой файл на  вашем  ПК можно заразить вирусом достаточно найти нужный сайт с таким вирусом.
     
     
  • 4.43, Аномномномнимус (?), 12:42, 12/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Если у тебя дырявый браузер, тебе уже не нужно заражать любой файл , твою систе... весь текст скрыт [показать]
     
     
  • 5.47, Джон Ленин (?), 12:52, 12/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Исправлять такое надо в ЛИБАХ и ПЕТОНЕ Не нравится что-то 8212 пакуйте polki... весь текст скрыт [показать]
     
  • 5.80, tizen (?), 17:27, 14/01/2018 [^] [ответить]     [к модератору]  
  • +/
    По файлопомойкам нужно перстать лазить Вам, а так же нужно снять розовые очки в ... весь текст скрыт [показать]
     
     
  • 6.82, Аномномномнимус (?), 16:00, 15/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Т е у тебя дырявый браузер, устаревшие базы к хреновому антивирусу, но виноваты... весь текст скрыт [показать]
     
  • 1.21, brothermechanic (?), 06:35, 12/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Все из за того что вместе с исходниками Blender поставляются некоторые исходники

    сторонних либ, которые конечно же протухли и содержат уязвимости,

    https://git.blender.org/gitweb/gitweb.cgi/blender.git/tree/HEAD:/extern

    А чтоб собрать блендер с системными либами, нужны патчи.

     
  • 1.22, Аноним (-), 07:24, 12/01/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    Последнее сообщение в перписке Тона и Циско Циско пока не ответили, обидно ... весь текст скрыт [показать]
     
     
  • 2.30, QuAzI (ok), 09:49, 12/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    А вот это просто подстава и желание цисок попиариться
     
  • 1.23, Ю.Т. (?), 07:28, 12/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    А ошибки-то классические, до-интернетные ещё - integer overflow (за тип integer испытываю к Си неприязнь с первых дней освоения).

    ЧуЙствую, бойцы из TALOS не истаптывали тонну сапог, а просто пробежались по самым очевидным подпрограммам с int аргументами. Там и ещё осталось, наверное.

    P.S. Почему текстовое поле на opennet с таким микроскопическим размером шрифта, достало уже?? Ни один более сайт не загоняет в такие мелкие буквы.

     
     
  • 2.27, Аноним (-), 09:18, 12/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Контрол плюс %username%!
     
     
  • 3.41, Ю.Т. (?), 11:54, 12/01/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > Контрол плюс %username%!

    Тонко очень. )) Открывает сообщения, подписанные мной.  И?.. Намёк, что надо зарегистрироваться?

     
     
  • 4.48, J.L. (?), 13:13, 12/01/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    в обычных браузерах это увеличивает масштаб страницы контрл 0 - сброс на дефолт... весь текст скрыт [показать]
     
     
  • 5.57, Ю.Т. (?), 16:50, 12/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Нет, Ctrl знаю, но тогда обычный текст разрастается А что ж не сделать было... весь текст скрыт [показать]
     
  • 2.28, Аноним (-), 09:26, 12/01/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    > подпрограммам

    До сих пор пишешь в QBasic?

    > достало уже??

    Не, не достало, спасибо, что спросил.

     
     
  • 3.38, Ю.Т. (?), 11:50, 12/01/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    >> подпрограммам
    > До сих пор пишешь в QBasic?

    Не, всего лишь поставил термин, чтобы какой-нибудь петросян спросил про бэйсик.
    Это работает.

     
     
  • 4.45, Аномномномнимус (?), 12:43, 12/01/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    - Ты программишь?
    - Нет, так, подпрограммливаю

     
  • 2.36, Аноним (-), 10:33, 12/01/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    >за тип integer испытываю к Си неприязнь с первых дней освоения

    А что, в других ЯП нет целочисленных знаковых и беззнаковых типов?

     
     
  • 3.39, Ю.Т. (?), 11:51, 12/01/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    >>за тип integer испытываю к Си неприязнь с первых дней освоения
    > А что, в других ЯП нет целочисленных знаковых и беззнаковых типов?

    Есть, конечно. Но где ещё целочисленным типом пользуются с такой удалью - и не скажу.

     
     
  • 4.53, Comdiv (ok), 14:47, 12/01/2018 [^] [ответить]    [к модератору]  
  • +/
    C++ же
     
  • 1.24, тот еще анон (?), 08:10, 12/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +11 +/
    Cisco у себя устранила все уязвимости и от скуки блендер тестит?
     
     
  • 2.49, Аноним (-), 13:13, 12/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Это для разнообразия: у себя-то они уязвимости создают, а не устраняют.
     
  • 2.56, Анониммм (?), 15:51, 12/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну видимо, они вплотную занимаются анализом передаваемых файлов через свои железки, дпи и прочей фильтрацией  вирусных котиков, и кто-то из них даже юзает блендер...
     
  • 2.66, Michael Shigorin (ok), 00:31, 13/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > Cisco у себя устранила все уязвимости и от скуки блендер тестит?

    Спасибо за формулировку, у меня всё как-то не складывалась.

     
  • 1.26, kaiwas (ok), 08:49, 12/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А пофиг! Всё равно это лучшая программа для онтопика!
     
  • 1.55, Анониммм (?), 15:48, 12/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Ну как бэ ставить софт и открывать ресурсы - не одно и то же. Каждую картинку проверять не вариант даже для конченного параноика.
    Разрабы блендера эпичны в своей безолаберности. Но они же никому ничего не должны...
     
     
  • 2.83, Аномномномнимус (?), 16:04, 15/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Анонимусы эпичны в своей безалаберности. Но они же никому ничего не должны... Только потреблять и ныть о том, что их вообще не касается
     
  • 1.86, IY (?), 19:38, 21/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    ...а питон давно пора было из блендера выпилить. Совсем.
    Не то чтобы уязвимости были именно из-за него. Просто достал.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor