The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Критические уязвимости в Google Chrome, Adobe Flash и VLC

15.04.2011 16:45

Обнаружено несколько опасных уязвимостей:

  • Компания Google выпустила обновление web-браузера Google Chrome 10.0.648.205, в котором устранено сразу три критические ошибки, позволяющие организовать выполнение кода злоумышленника в системе, обойдя ограничения sandbox. Все уязвимости найдены в коде процесса, обеспечивающего работу функций GPU-акселерации. Одна из проблем проявляется только на платформе Windows, а вторая найдена по горячим следам сотрудниками Google.

    Критический статус уязвимости подразумевает возможность полного обхода всех уровней защиты браузера, что может привести к выполнению кода в системе. Ранее ошибки подобного рода в Google Chrome находили только один раз.

  • В Adobe Flash найдена критическая "0-day" уязвимость, позволяющая организовать выполнение кода при открытии специально оформленного SWF-файла или встроенного в документ Flash-блока. В сети зафиксированы факты успешной атаки на машины пользователей, через распространение doc-файлов с интегрированными Flash-объектами (уязвимость также воспроизводится и с PDF-файлами).

    Уязвимости подвержены все версии Flash Player до версии 10.2.154.25 включительно, а также варианты Flash Player для мобильных платформ. Несмотря на то, что эксплоит можно найти в открытом доступе, компания Adobe еще не выпустила должных обновлений. Более того, выпуск обновления для подверженного уязвимости Adobe Reader планируется только 14 июня. Несмотря на то, что пока не выпущено официальное обновление от Adobe, компания Google уже представила корректирующие выпуски стабильной и бета веток браузера Chrome, в которых поставляется не подверженный уязвимости вариант Flash Player.

  • Вышло обновление медиа-плеера VLC 1.1.9, в котором устранена критическая уязвимость, позволяющая организовать выполнение кода при открытии специально оформленных MP4-файлов.


  1. Главная ссылка к новости (http://googlechromereleases.bl...)
  2. OpenNews: Критическая уязвимость в Adobe Flash Player. Исправление пока доступно только для Google Chrome
  3. OpenNews: На соревновании Pwn2own взломаны Safari и IE, браузеры Firefox и Chrome устояли
  4. OpenNews: Релиз web-браузера Chrome 10
  5. OpenNews: Релиз web-браузера Chrome 9.0.597.107 с исправлением 19 уязвимостей
  6. OpenNews: Обновление браузера Chrome 8 с устранением 16 уязвимостей
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/30260-security
Ключевые слова: security, chrome, vlc, flash
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (20) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Заоза (?), 17:15, 15/04/2011 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Когда Адоб потонет наконец в уязвимостях.
    Такое ощущение, что им вообще параллельно на флеш.
     
     
  • 2.2, Азоаз (?), 17:20, 15/04/2011 [^] [^^] [^^^] [ответить]  
    		• –19 +/
    Когда Гугол потонет наконец в уязвимостях.
    Такое ощущение, что им вообще параллельно на хром.
     
     
  • 3.3, Areldar (?), 17:28, 15/04/2011 [^] [^^] [^^^] [ответить]  
    		• +8 +/
    Гугл уязвимости зарыла, а Адоб нет. Вывод - Гуглу не параллельно на Хром
     
     
  • 4.6, Lain_13 (?), 17:42, 15/04/2011 [^] [^^] [^^^] [ответить]  
    		• –5 +/
    ЧСХ Адоб уязвимость тоже закрыл, но пока отдал пофикшенную версию только Гуглу и тот уже распространил её с новой версией Хрома.
     
     
  • 5.13, name (??), 18:49, 15/04/2011 [^] [^^] [^^^] [ответить]  
    		• +/
    не факт, может хром swf-файл сначала парсит, а потом отдает плагину.
     
     
  • 6.15, анон (?), 19:48, 15/04/2011 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > не факт, может хром swf-файл сначала парсит, а потом отдает плагину

    Жги есчо.

    Адоб и Гугл - два сапога пара. Но фанатики этого не замечают

     
     
  • 7.18, анон (?), 20:25, 15/04/2011 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    >Адоб и Гугл - два сапога пара

    Как и ати с каноникал, кстати.

     
  • 7.21, Аноним (-), 00:43, 16/04/2011 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    У тебя шапка горит, а человек просто предположил. Мне например тоже непонятно как так получается что гугл раньше официального обновления выпускает исправления.
     
  • 3.17, User294 (ok), 20:11, 15/04/2011 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    > Когда Гугол потонет наконец в уязвимостях.
    > Такое ощущение, что им вообще параллельно на хром.

    Тем кому параллельно - те не запускают браузеры на линухе в контейнере. Гугл - запускает, из чувства параллельности такое не городится.

     

  • 1.4, Maris (?), 17:31, 15/04/2011 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    Как обьычно open source уже исправлены а проприетарное программное обеспечение исправят через несколько недель.
     
     
  • 2.7, Lain_13 (?), 17:43, 15/04/2011 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > Как обьычно open source уже исправлены а проприетарное программное обеспечение исправят
    > через несколько недель.

    Флэш тоже исправлен, но исправленная версия пока доступна только в комплекте с Хромом. :)

     
     
  • 3.12, Maris (?), 18:22, 15/04/2011 [^] [^^] [^^^] [ответить]  
    		• +/
    Т.е. для тех кто не использует Chrome уязвимость не закрыта, и похоже не будет закрыта довольно долго...
     

  • 1.5, Zenittur (?), 17:37, 15/04/2011 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    doc-файлы с интегрированными Flash-объектами. 0_o. А как такое печатать? Я ещё понимаю анимированная рамочка текста.
     
     
  • 2.8, Lain_13 (?), 17:47, 15/04/2011 [^] [^^] [^^^] [ответить]  
    		• +/
    > doc-файлы с интегрированными Flash-объектами. 0_o. А как такое печатать? Я ещё понимаю
    > анимированная рамочка текста.

    А в чём проблема если в документ встроено приложение на флэше, которое, например, какой-то хитрожопый график рисует на основании данных извне. Или у тебя флэш и анимация навечно в единое целое слились?

    Это ты ещё системы отчётов Xcelsius не видел… Вот уж где от одной идеи этой системы можно обгадиться.

     

  • 1.11, Аноним (-), 18:21, 15/04/2011 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    > выпуск обновления для подверженного уязвимости Adobe Reader планируется только 14 июня

    Два месяца пользователей Adobe Reader можно будет пользовать. Спасибо, Adobe!

     
     
  • 2.19, Michael Shigorin (ok), 21:08, 15/04/2011 [^] [^^] [^^^] [ответить]  
    		• +/
    Видимо, всё-таки в данный раз официально заявлено про Adobe Player, а Reader у пишущего уже по привычке с пальцев сорвалось...
     

  • 1.16, mitiok (ok), 19:53, 15/04/2011 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    "Несмотря на то, что эксплоит можно найти в открытом доступе,... выпуск обновления ... планируется только 14 июня."

    адоб - фантастическая фирма. ну просто нет слов.

     
  • 1.20, Sw00p aka Jerom (?), 22:30, 15/04/2011 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    >>В сети зафиксированы факты успешной атаки на машины пользователей

    на днях даже через хром проник у меня даунлоадер через эту уязвимость

     
  • 1.22, ungifted (?), 03:07, 16/04/2011 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Читайте внимательнее.
    14 июня будет обновление для Reader X, т.к. "Protected Mode would prevent an exploit of this kind from executing".
    Исправление для 9.x обещают до 25 апреля.
    Исправленный Flash Player уже доступен для поддерживаемых платформ: http://www.adobe.com/support/security/bulletins/apsb11-07.html
     
     
  • 2.24, AlexYeCu (?), 09:44, 17/04/2011 [^] [^^] [^^^] [ответить]  
    		• +/
    А хрена ли толку, если последний рабочий — flash-plugin-10.1.85.3-release?
    Все 10.2 — абсолютно нерабочая хренота, неспособная проработать и пяти минут без приключений.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру