An Adobe Flash 0day is being actively exploited in the wild

HUP cikkturkáló

https://arstechnica.com/information-technology/2018/02/theres-a-new-ado…

Azt hiszem, 0-nál nagyobb a még ma is aktív Flash használók száma, így az érintettek száma is.

  • 2326 megtekintés

( Nyosigomboc v | 2018. 02. 03., szo – 22:41 )

LOL
Sosem hal ki. Pedig meg sem lett volna szabad alkotni.

--
Any A.I. smart enough to pass a Turing test is smart enough to know to fail it. -Ian McDonald

Na jó, de ugyanez elmondható szerintem windows-ról, linuxokról is. Legalábbis a múltkor nézegettem CVE adatbázist, próbáltam alátámasztani, hogy mennyire lyukasak az Androidok, erre... hát nem azt találtam, amit vártam.
Legalábbis a Samsungomon futó, kifejezetten samsungos verzió közel sem tűnt olyan lyukasnak, mint a windows-ok, linuxos rendszerek. (jó, flash-ben talán több a remote exploit az átlagnál - vagy csak a visszhangja nagyobb?)

Nem hiszem, hogy itt akár a win, akár a lin Achilles-sarkai jó példát jelentenének arra, hogy hogyan kell hibákat nem szapulni. ;)

Egyéb hibának több aktivitással és nemtörődöm/tájékozatlan jóváhagyással tette/teszi ki magát az ember. A flashének meg azzal, ha ellátogat egy flash-only oldalra, amelyre el kell látogatnia.

Hááát... kibírnám a web megerősített interakciója nélkül.
Még a hupra is lehet nélküle írni.

Inkább az életben ne kerül volna bele hangkezelés, meg a többi játékmotivál ballaszt, hanem addig pofozták volna, amíg biztonságos adminappok állnak össze belőle - ha már elhitették a gyártókkal, hogy milyen jó arra!

"Bizony. Lehet fikázni de olyan interakciót hozott a webre mint semmi más."

Ez mondjuk igaz.
1. Keresel egy megfelelo 0dayt
2. Irsz hozza exploitot, es hirdeteseken keresztul terited egy csomo gepre
3. Az aldozatok gepere telepitesz spyware-t, keyloggert, bekapcsolod a webkamerajukat, atveszed az iranyitast a gepek felett. Ilyen interakciot meg semmi nem hozott!
???
4. Lecsereled a hatterkepuket Buddhasra/Mozesesre/Jezusosra/Mohamedesre
5. Prophet!

--
Any A.I. smart enough to pass a Turing test is smart enough to know to fail it. -Ian McDonald

( gee v | 2018. 02. 04., v – 02:09 )

Evek ota nem teszek fel flash plugint a bongeszobe.

Hidegen hagy, hogy epp talaltak benne uj lukat.

Láttál az utóbbi időben vCenter-t? Na a vastagkliens kuka, lett helyette webes istenverése, ami vagy flash (teléjes funkcionalitás), vagy html5 (korlátozott funkcionalitás).
Az, hogy "egyébként lehetne..." az a jövőre nézve lehet_ne_ biztató is, de most kell használni ezt a rettenet lassú, kényelmetlen sz@rt.

Igen, csak épp úgy kezdted, mint ha a html5 hiányossága lenne vagy a flash érdeme, hogy egyikben szar, a másikban jó klienst készítettek volna.

Egyébként nem láttam. Pont ezért kérdeztem rá hogy konkrétan miket hiányolsz, amihez tényleg flash kell, és nem csak azért nincs a html5-ös verzióban, mert szimplán nem került bele.

A vcenter production környezetben sajnos érv a flash mellett, mert a html5 nagyon korlátozott tudással bír - még. Vagy ha jobban tetszik, egy érv a vmware szapulásához, mert normális admin felület a vastagkliens kidobásával nincs hozzá - a webes felület (úgy a flash mint a html5) annak, aki vastagklienses megoldással üzemeltetett korábban nem hiszem, hogy tetszik.

Kényszer az, nem érv - amúgy egyetértünk.

Egyébként rémisztő, hogy a nagy böngészőgyárosok már évek óta fenyegették az flasht, amikor a világ (benne a vmware) még mindig előrefelé ment a zsákutca vége felé.

Téeles akárhányat kerülhet minden kapcsolódási pontba, finomhangolható jogosultságrendszer áll rendelkezésre, aztán az egész elé flash kerül, ill. nem tűnik el onnan.

( Raynes v | 2018. 02. 04., v – 02:11 )

Az szép. Rossz hír, hogy csak jövő héten lesz javítás, a jó, hogy a legtöbb böngésző alapból blokkolja ma már a flashes tartalmakat, és amúgy is Adobe Flash helyett Pepperflasht használnak (mivel NPAPI-ről átálltak PPAPI-ra). Szóval annyira sok embert nem érinthet, csak a régebbi böngészőt használókat, vagy akik nem böngészőt, hanem IE-t vagy Edge-t használnak.

Kövezzetek meg, de én már nem is nagyon találkozok Flashsel sehol. A legtöbb videómegosztós oldal már átállt HTML5-re, egyéb weboldalakon is leszokóban vannak róla, megoldják mással a mozgó bannert meg interaktív menüket. Nem is emlékszem, hogy utoljára mikor jártam olyan oldalon, ami használta. A játékokat is meg tudják már oldalni HTML5-ben. Ha lassan is, de biztosan kihalóban van. Világ életemben utáltam, de a Javát, és ActiveX-et pl. mindig is nagyobb foshalmaznak tartottam.

„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek…” Aron1988@PH Fórum

vCenter - a html5 felület korlátozott tudású, a flash-es nyújtja a teljes szolgáltatást - igaz, a régebbi vastag klienshez képest khm. kevésbé reszponzívan... És ez nem egy régi, kivezetés alatt álló megoldás tőlük, hanem a vastagkliens helyett nem túl rég behozot újítás.

Tiszta mázli, nem vCenterezek, meg a többi felhasználó 99,999%-a sem. Egyébként meg pont azt hajtogatom, hogy a modern böngészőkben Pepperflash van, ami az Adobe NPAPI verziótól teljesen különböző implementáció, és mégis teljes Flash-funkcionalitást nyújt, nyílt forráskódú, közösségi karbantartású.

„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek…” Aron1988@PH Fórum

( freeoli v | 2018. 02. 04., v – 23:39 )

Azt hittem ez valami régi szál megint felpumpalva. :D

( uid_16313 | 2018. 02. 05., h – 17:05 )

De legalább gyors lenne úgy, hogy közben nem tekerné a CPU-t maxon.

--
robyboy

( elod v | 2018. 02. 05., h – 19:09 )

Már jó pár napja feltolta a frissítést a Win10. Valamire jó az agresszív patch-elés is.

( hajbazer v | 2018. 02. 05., h – 19:31 )

Fősodratú érveléssel hadd éljek: Nem kell használni és nem exploitolható.