Ismét kritikus Adobe Flash Player sebezhetőségre figyelmeztet az Adobe

 ( trey | 2010. szeptember 14., kedd - 21:09 )

Az Adobe tegnap közölt egy biztonsági figyelmeztetőt, amelyben arra hívja fel a figyelmet, hogy a 10.1.82.76-os és korábbi verziójú windowsos, linuxos, solarisos, Mac-es Adobe Flash Player-ek kritikus sebezhetőségben szenvednek. Szintén sebezhető a 10.1.92.10-es Flash Player for Android is. A sebezhetőség ráadásul érinti az Adobe Reader egyes verzióit is.

A sebezhetőség összeomláshoz vezethet és magában hordozza a lehetőségét annak, hogy a rosszindulatú támadó átvegye az irányítást az áldozat rendszere felett. Jelentések érkeztek a gyártóhoz arról, hogy a windowsos verzió ellen aktív támadások vannak folyamatban. Az Adobe jelezte, hogy már dolgozik a problémán, de javítás két hétnél korábban nem nagyon várható. A részletek itt olvashatók.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

emlegetett szamar. Talan 2 ev mulva ujra lesz hasznalhato sechole nelkuli x64-es es armos verzio. Vagy az armost karbantartjak?

------------
A Windows 95 hibajabol tanulva inkabb Windows XP-nek nevezték el, hogy ne legyen ciki, hogy a legtöbb dologra 2008-ban még mindig a "Windows 2001" a leghasználhatóbb

Igen, tényleg lehetne erre a hírre gyártani egy template-et, amiben csak a mezőket (programnév, verziószám, stb.) kellene kitölteni.
Hogy mókásabb legyen, mindezt lehetne flasben implementálni. :D

A tréfát félretéve, mi lehet ennek az egésznek az oka? Most nem arra gondolok, hogy hány nap alatt javítják ki az újabb 0 day hibát, hanem hogy miért kerül elő ilyen számolatlan mennyiségű hiba épp ezekben a programokban?
Van ennek valami mélyebb oka esetleg?

"hanem hogy miért kerül elő ilyen számolatlan mennyiségű hiba épp ezekben a programokban?"

Egyszer volt egy felmérés arról, hogy a desktop gépek hány százalékán van telepítve Adobe Flash Player. Az eredmény megdöbbentő volt. 97-98 százalékra emlékszem. Tudsz mondani még olyan szoftvert, ami közvetlen kapcsolatban van az internettel és ilyen százalékban van jelen a desktop számítógépeken? Mivel ilyen elterjedt, nyilvánvaló, hogy jó támadási felület. Biztos vagyok benne, hogy hogy a malware írók erősen rá vannak szívódva és darabokra szedik annak érdekében, hogy hibát találjanak benne. Egyik oka lehet ez annak, hogy ennyire gyakori a Flash-ben levő hibák kihasználása. A másik ok lehet egyszerűen az, hogy rossz munkát végeznek az Adobe-nál.

--
trey @ gépház

eppen ezert en nem is azon a ponton kerdojelezem meg oket, hogy sok exploit van, ha midnenki pl. Arorat hasznalna az egesz vilagon, lehet az is tele lenne exploittal, nekem a rossz munkat vegeznek inkabb abban nyilvanul meg, hogy kepzelem milyen gany kod lehet az, ami x86 kivetelevel semmire nem fordul le rendesen (de még amd64-re is nehezkesebben mint armra) Innentol joggal feltetelezem azt, hogy a kod rossz minosege okozza a sok exploitot is, ahogy az nVidia driver is stabilabb az Ati Catalystnal, es veletlen mindemellett platformfuggetlen is

Meg az Adobe Readerre ez nem igaz, hogy 97-98% Internetkozeli blabla, megis vannak annak is exploitjai, es szerintem a Microsoft Wordot is hasznaljak majdnem ennyien, megse olyan lyukas, mint az ementali sajt, tehat nekem ebbol egyenesen kovetkezik, hogy az MS Office jobb minosegu kod, mint az Adobe Reader

------------
A Windows 95 hibajabol tanulva inkabb Windows XP-nek nevezték el, hogy ne legyen ciki, hogy a legtöbb dologra 2008-ban még mindig a "Windows 2001" a leghasználhatóbb

Ez az eszmefuttatás zavaros nekem egy kicsit így elsőre. Most elmegyek ebédelni, aztán majd nekifutok délután újra.

--
trey @ gépház

Nyugodt lehetsz, hogy az MS Office ugyanilyen lyukas ementáli sajt volt. Jól bizonyítja ezt Ben Nagy quad-core Xeon szerverekből épített klaszteren futó elosztott fuzzere, amelyik egy rakás hibát talált a Word-ben anno pár másodperc alatt. A különbség csak az, hogy a Microsoft megértette végre annak fontosságát, hogy a biztonsági hibákat a lehető legszélesebb körben, a legváltozatosabb módokon kell keresni és az itsec iparban megjelenő új ötleteket mihamarabb magukévá kell tenni, így sikeresen átültették a fuzzing klaszter ötletet a saját fuzzing botnet-jükbe és a belső hálózatukban lévő kihasználatlan gépkapacitásukat arra fordítják, hogy eddig felfedezetlen hibákat keressenek a termékeikben. Ennek köszönhetően, nameg az Office 2010-ben megjelent új biztonsági funkcióknak (pl. a Gatekeeper dll a file integritás vizsgálathoz, vagy a Protected View sandbox) köszönhetően biztonságosabb jelenleg a termékük az összes konkurens terméknél.

Ez tényleg jó ötlet, fel is vetődött bennem rögtön, hogy vajon egy szabad szoftveres programot (Firefox, OpenOffice, stb) lehetne-e ezzel a módszerrel önkéntesek bevonásával nagyon széles körben teszteltetni? Vagy ez több biztonsági problémát vetne fel, mit amennyit megoldana?
Mert addig kivitelezhetőnek látom a dolgot, amíg csak egy cég belső rendszerében történik a tesztelés, de ha már kikerül számos egyedi felhasználó ellenőrizhetetlen gépére... nem is tudom...

Biztos lenne olyan, aki megtartaná a talált hibákat, de ha több résztvevővel is redundánsan lefuttatnák ugyanazokat a teszteket, akkor kisebb valószínűséggel maradhatna titokban. A probléma csak az, hogy még így is kétélű fegyver, ahogy a kerneloops[.org] is az. Van ugyanis egy szép nagy "race window" a bug megtalálása és a végfelhasználóknál történő javítás között, amely épp elégséges lehet egy támadónak a hiba kihasználásához...

Akkor csak egy kerdesem maradt: ezt miert nem tudtak pont az Internet Explorernel megoldani? Mert azon most eppen nem lyukak vannak, hanem kesz egeratjarohaz :D (IE9 persze jobb lesz, de...)

------------
A Windows 95 hibajabol tanulva inkabb Windows XP-nek nevezték el, hogy ne legyen ciki, hogy a legtöbb dologra 2008-ban még mindig a "Windows 2001" a leghasználhatóbb

Mások az arányok. Nyilván Office 2010-ben még így is maradt egy rakás bug (ahogy IE-ben), csak a kihasználásuk lett nehéz. Míg Word/Excel esetén megnyitáskor erős kalimpálás látható makróknál és más beágyazott kódoknál, amelyek előkészíthetnék a terepet az exploitáláshoz, addig Internet Explorer-nél (és általában a böngészőknél alapértelmezetten) kérdés nélkül futhat Javascript kód. Annak segítségével pedig már rutin a heap-spraying és így az ASLR kijátszása.

Egyébként Windows 7-en, 64 bites Internet Explorer 8 + kikapcsolhatatlan DEP beállítás mellett (bcdedit /set NX AlwaysOn) meglehetősen nehéz már egy puffer túlcsordulásos hibát komolyabb dologra kihasználni...

"kepzelem milyen gany kod lehet az, ami x86 kivetelevel semmire nem fordul le rendesen"

Mit mond neked az a szo, hogy jit-compiler?

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

+Linuxos x64-es változat. Az elmúlt x év sechole-jai nélkül.

Ugyanígy várjuk a Skype-ot is, akár 32-bites változatban. :)

Csak nekem tűnik úgy, hogy mostanában sok a Flash sechole? Vagy mindig is volt sok, de mostanában lett divat kihasználni ezeket? És miért tart 2 hétig egy javítás? Úgy gondolnám, hogy van százezer unit teszt meg szerverpark, ami futtatja, és 1-2 nap alatt release-elhető lenne.

--
joco voltam szevasz

Nalam eleg nagy problema hogy megszuntettek a 64bites verzio fejleszteset igy maradok a betanal amit kiadtak, es nem latogatok ketes oldalak flashel.

Egy válaszba ágyazott flash tartalom? A hup-ban gondolom megbízol, de a látogatókban?

a flashblock jo dolog :)

Talán újra kéne írniuk az egészet, mert a jelek szerint csak tákolgatják újra és újra.

vagy haladni kene a html5-tel, nem csak a bongeszoknek, de a webfejlesztoknek is. Respect the exception, mert egyre tobb van

------------
A Windows 95 hibajabol tanulva inkabb Windows XP-nek nevezték el, hogy ne legyen ciki, hogy a legtöbb dologra 2008-ban még mindig a "Windows 2001" a leghasználhatóbb

Már két nyílt forrású fejlesztés próbálkozik ezzel: Gnash és Lightspark.

három. ott van az swfdec is.
persze hárman nem tudnak egyet kitenni, de ezt megszoktuk már :) a lightspark viszont egész írgéretes, használják az LLVMet jól, tehát ha elkészül még a végén emberi sebességgel is fog működni.

A lightspark-kal nekem eddig csak fekete ablakot sikerült létrehoznom. Gondolom valamit rosszul csinálok, hiszen a fejlesztők valamivel csak kipróbálják ha ki merik adni.

Munkás Istvánnak van igaza a flash bojkottal.

Igaza lenne, ha ok egy icipicit is jobbak lennenek security teren. Csakhat nem azok.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Es kompatibilitasban sem jobbak az Adobe-nal (mindket ceg legfobb hatranya, hogy minel kevesebb dologgal, de leginkabb csak onmagaval kompatibilisek a termekei)

------------
A Windows 95 hibajabol tanulva inkabb Windows XP-nek nevezték el, hogy ne legyen ciki, hogy a legtöbb dologra 2008-ban még mindig a "Windows 2001" a leghasználhatóbb

Munkás István... :)) Reggeli fejtörőként megfejtettem, ki az.

Stephen Working? Vagy kicsoda? Nem mond semmit a nev :(

--
http://www.micros~1

Job mint munka és Steve... csak a többesszám kell még rá :)

AAAAA, koszi :)

--
http://www.micros~1