форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновление Chrome 19 с устранением критических уязвимостей. ..."	+/–
Сообщение от opennews on 24-Май-12, 12:41
Компания Google представила (http://googlechromereleases.blogspot.com/2012/05/stable-chan...) корректирующий выпуск web-браузера Chrome 19.0.1084.52, в котором устранено 13 уязвимостей и представлена порция исправлений ошибок (http://build.chromium.org/f/chromium/perf/dashboard/ui/chang...). Две уязвимости имеют характер критических проблем, которые позволяют обойти все уровни защиты браузера и совершить атаку на систему пользователя. Девять уязвимостей отнесены к категории опасных, две - умеренных. Первая критическая уязвимость найдена в коде с реализацией поддержки работы WebSockets поверх SSL, а вторая связана с возможностью обращения к освобождённой области памяти (use-after-free) в коде работы с браузерным кэшем. Одна из опасных уязвимостей специфична только для платформы Linux и связана с работой GTK UI. Среди других опасных проблем: ошибка в сборщике мусора и обработчике типов JavaScript-движка v8, обращения к освобождённой области памяти при обработке первых символов и при работе с шифрованными PDF, крах в JavaScript-биндинге для плагинов, выход за допустимые границы памяти во встроенном просмотрщике PDF-файлов. Большая часть исправленных уязвимостей выявлена при помощи инструментария AddressSanitizer (http://code.google.com/p/address-sanitizer/wiki/AddressSanit...), предназначенного для автоматизированного определения фактов обращения к освобождённым областям памяти, выхода за пределы границ выделенного буфера и некоторых других типов ошибок при работе с памятью. В рамках программы выплаты вознаграждений за выявление уязвимостей в Chrome исследователям безопасности выплачено 4837 долларов: три премии по 1000$, одна 1337$ и одна 500$. Кроме того, можно отметить интересную публикацию (http://blog.chromium.org/2012/05/tale-of-two-pwnies-part-1.html) в блоге разработчиков Chromium, рассказывающую о методах, использованных при создании сложного эксплоита, продемонстрированного (http://www.opennet.ru/opennews/art.shtml?num=33301) на соревновании Pwnium. Эксплоит позволил организовать выполнение кода в системе, используя для обхода всех уровней защиты браузера сочетание из шести не связанных друг с другом ошибок. Например, для того чтобы задействовать уязвимость в коде работающего вне sandbox-окружения класса для формования вывода, доступного только для расширений и служебных страниц настройки, были дополнительно задействованы несколько  уязвимостей, позволивших выполнить действие от имени менеджера расширений и уже через IPC-вызовы от менеджера расширения эксплуатировать проблему в коде рендеринга. URL: http://googlechromereleases.blogspot.com/2012/05/stable-chan... Новость: http://www.opennet.ru/opennews/art.shtml?num=33926
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Обновление Chrome 19 с устранением критических уязвимостей. ..."	+/–
Сообщение от анон on 24-Май-12, 12:41
Судя по работе, которая над ним ведется, он действительно один из защищенных броузеров.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Обновление Chrome 19 с устранением критических уязвимостей. ..."	+/–
Сообщение от Аноним (??) on 24-Май-12, 13:15
Хромиум в убунте до сих пор 18-й :( даже странно, 19-й Хром уже давно вышел и дырки в нём были. Получается, что хочешь security - ставь Хром, а не Хромиум?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Обновление Chrome 19 с устранением критических уязвимостей. ..."	+1 +/–
	Сообщение от Аноним (??) on 24-Май-12, 13:25
	Хочешь секурности - цепляй сторонние репы. Или компиляй сам. Со своими патчами. Секурными.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	7. "Обновление Chrome 19 с устранением критических уязвимостей. ..."	+/–
	Сообщение от Аноним (??) on 24-Май-12, 16:12
	А ему слабо. Надо ж код читать. А 99,9% сторонников опенсорца не только код не читают, но даже его понять не способны. :) Только, бия себя пяткой в грудь, тут пыль пускают в глаза, какие они свободные и непроприетарные :D:D:D
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	10. "Обновление Chrome 19 с устранением критических уязвимостей. ..."	+2 +/–
	Сообщение от Аноним (??) on 24-Май-12, 20:19
	> Только, бия себя пяткой в грудь, тут пыль пускают в глаза, > какие они свободные и непроприетарные :D:D:D А вы такой толстый и унылый что вам даже бить себя пяткой в грудь не надо :)
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Обновление Chrome 19 с устранением критических уязвимостей. ..."	+/–
	Сообщение от Аноним (??) on 24-Май-12, 20:18
	> Хочешь секурности - цепляй сторонние репы. Вообще-то в мало-мальски не пионерско-наколенных дистрах по задумке команда майнтайнеров оперативно затыкает секурити дыры. И убунта тоже придерживается подобной политики. Если фикс не выкатили - возможно вылезли какие-то проблемы, например.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	12. "Обновление Chrome 19 с устранением критических уязвимостей. ..."	+/–
	Сообщение от Genix on 24-Май-12, 20:39
	Или, например, дырку закрыли без обновления версии.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	19. "Обновление Chrome 19 с устранением критических уязвимостей. ..."	+/–
	Сообщение от Аноним (??) on 25-Май-12, 06:50
	Ага, причём дырку закрыли сразу на моем ПК без подтягивания дополнительных файлов. Я же вижу, что по apt-get update && apt-get dist-upgrade подтягивается.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	15. "Обновление Chrome 19 с устранением критических уязвимостей. ..."	+1 +/–
	Сообщение от Аноним (??) on 24-Май-12, 21:49
	> Хочешь секурности - не ставь хромого
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	22. "Обновление Chrome 19 с устранением критических уязвимостей. ..."	+/–
	Сообщение от анон on 25-Май-12, 10:45
	Я просматривал код хрома. Поверьте мне, сходу вникнуть и понять что и к чему в килотоннах исходных кодов просто нереально. А коли делать свои секурные патчи, то надо знать не свои секурные баги, о которых, как показывает практика, значит значительно узкий круг лиц вне поля досягаемости даже для самомих разработчиков. Так что ерунду не несите.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	23. "Обновление Chrome 19 с устранением критических уязвимостей. ..."	+/–
	Сообщение от анон on 25-Май-12, 10:46
	*знает значительно узкий круг...
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	4. "Обновление Chrome 19 с устранением критических уязвимостей. ..."	–1 +/–
	Сообщение от ua9oas (ok) on 24-Май-12, 13:31
	> Хромиум в убунте до сих пор 18-й :( даже странно, 19-й Хром   А у меня стоит Debian а в нем так вообще- "Chromium 6.0.472.63 (59945) Built on Debian 6.0, running on Debian 6.0.5 " (а где про копирайт другая надпись- 2006-2010  и чем они друг от друга отличаются?)
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	25. "Обновление Chrome 19 с устранением критических уязвимостей. ..."	+/–
	Сообщение от Loooooker (ok) on 25-Май-12, 17:40
	для начала поддержкой новых html[5]-элементов
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	5. "Обновление Chrome 19 с устранением критических уязвимостей. ..."	+/–
	Сообщение от Аноним (??) on 24-Май-12, 14:36
	> Хромиум в убунте до сих пор 18-й :( даже странно, 19-й Хром уже давно вышел и дырки в нём были. Получается, что хочешь security - ставь Хром, а не Хромиум? Да. Если вендор предоставляет свои репы для вашего дистра, и при этом фиксит дыры быстрее, чем мейнтейнеры - выбор очевиден.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	6. "Обновление Chrome 19 с устранением критических уязвимостей. ..."	+/–
	Сообщение от Анонус on 24-Май-12, 15:42
	>Получается, что хочешь security - ставь Хром, а не Хромиум? Получается, что хочешь security - ставь ФаерФокс, а не Хромиум? Пофиксел и не благодари.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	11. "Обновление Chrome 19 с устранением критических уязвимостей. ..."	–1 +/–
	Сообщение от Аноним (??) on 24-Май-12, 20:21
	> Получается, что хочешь security - ставь ФаерФокс, а не Хромиум? Секурити с хромом - это вообще нечто странное. Там все на гуглозондаккаунт завязано. Поэтому секурности не больше чем у хомяка в клетке в лаборатории. Ты можешь не жрать совсем или жрать пропитанную тестовым препаратом жратву. У тебя есть выбор!
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	16. "Обновление Chrome 19 с устранением критических уязвимостей. ..."	+/–
	Сообщение от szh (ok) on 24-Май-12, 21:59
	.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	21. "Обновление Chrome 19 с устранением критических уязвимостей. ..."	+/–
	Сообщение от Медвед (??) on 25-Май-12, 10:02
	"Секурити с хромом - это вообще нечто странное. Там все на гуглозондаккаунт завязано." Неправда. Браузинг в инете не завязан на гуглозонд, а большего и не надо.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	26. "Обновление Chrome 19 с устранением критических уязвимостей. ..."	+/–
	Сообщение от aleos (ok) on 26-Май-12, 01:23
	> Неправда. Браузинг в инете не завязан на гуглозонд, а большего и не надо. А синхронизация?
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

	8. "Обновление Chrome 19 с устранением критических уязвимостей. ..."	+/–
	Сообщение от skybon (ok) on 24-Май-12, 16:39
	Сторонние репозитории, мсье. Google Chrome версия 19.0.1084.46
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

13. "Обновление Chrome 19 с устранением критических уязвимостей. ..."	+/–
Сообщение от iZEN (ok) on 24-Май-12, 21:10
> Большая часть исправленных уязвимостей выявлена при помощи инструментария AddressSanitizer Новые технологии в действии, так сказать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Обновление Chrome 19 с устранением критических уязвимостей. ..."	+/–
Сообщение от Аноним (??) on 24-Май-12, 21:46
> Большая часть исправленных уязвимостей выявлена при помощи инструментария AddressSanitizer Это в каждой новости про Хром говорят. Яростно пиарят этот инструмент
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	18. "Обновление Chrome 19 с устранением критических..."	+/–
	Сообщение от arisu (ok) on 25-Май-12, 01:34
	>> Большая часть исправленных уязвимостей выявлена при помощи инструментария AddressSanitizer > Это в каждой новости про Хром говорят. Яростно пиарят этот инструмент так ведь и вправду хороший инструмент. правда, для x86 бесполезен, если верить офсайту.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "Обновление Chrome 19 с устранением критических..."	+/–
Сообщение от arisu (ok) on 25-Май-12, 01:31
я всё больше начинаю любить опеннет. хороший юмористический сайт же. «порция исправлений ошибок». круто.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Обновление Chrome 19 с устранением критических уязвимостей. ..."	+/–
Сообщение от Аноним (??) on 25-Май-12, 06:55
В Ubuntu 12.04 сейчас последняя версия 18.0.1025.151~r130497-0ubuntu1. Последнее обновление chromium-browser было месяц назад, security-репка подключена. Я разочарован (мягко говоря :( )
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	24. "Обновление Chrome 19 с устранением критических уязвимостей. ..."	+/–
	Сообщение от Жора (??) on 25-Май-12, 14:43
	В арче и генту уже есть последние
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема