форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Демонстрация критической уязвимости Firefox на соревновании ..."	+/–
Сообщение от opennews (ok) on 12-Мрт-12, 01:06
Кроме двух успешных атак на браузер Chrome и универсальной атаки через Adobe Flash в дни проведения соревнований Pwn2own была продемонстрирована (http://www.zdnet.com/blog/security/researchers-hack-into-new...) неисправленная (zero-day) уязвимость в последнем выпуске Firefox 10.0.2. Рабочий эксплоит был продемонстрирован в Windows 7 SP1 со всеми доступными обновлениями, при этом успешному выполнению кода с правами текущего пользователя не помешали средства защиты DEP (Data Execution Prevention) и ASLR (Address Space Layout Randomization). Авторы эксплоита, Willem Pinckaers и Vincenzo Iozzo, получили (http://pwn2own.zerodayinitiative.com/) вторую премию конкурса Pwn2own - 30 тысяч долларов (первая премия 60 тыс. долларов досталась создателям метода атаки на Internet Explorer и Chrome через Adobe Flash, отдельно по 60 тыс. долларов от компании Google получили авторы эксплоитов для браузера Chrome). Детали взлома по условиям соревнований будут оставаться в тайне до момента выпуска официального обновления Firefox. Для проведения атаки была использована уязвимость, позволяющая выполнить обращение к уже освобождённой области памяти (use-after-free). По словам создателей эксплоита для успешной организации атаки найденная use-after-free уязвимость была применена три раза: первый раз для получения определённой информации, второй раз для определения адреса данных и третий для передачи управления своему коду. Уязвимость выявил Vincenzo Iozzo, а  Willem Pinckaers всего за день написал рабочий эксплоит. URL: http://www.zdnet.com/blog/security/researchers-hack-into-new... Новость: https://www.opennet.ru/opennews/art.shtml?num=33324
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Демонстрация критической уязвимости Firefox на соревновании ..."	+1 +/–
Сообщение от ua9oas (ok) on 12-Мрт-12, 01:06
Продемонстрировано там это было, я так понял,- в "винде7". А в других ос тогда как? И как раз сегодня я ставил этот "10.02" на "винду2000". Поставилось и работает хорошо. А если этот системник принести туда то интересно,- там этот браузер вскроют?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Демонстрация критической уязвимости Firefox на соревновании ..."	+10 +/–
	Сообщение от xandry (ok) on 12-Мрт-12, 01:14
	Там похоже всё вскроют, что дают.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	30. "Демонстрация критической уязвимости Firefox на соревновании ..."	+1 +/–
	Сообщение от pavlinux (ok) on 12-Мрт-12, 16:50
	OpenVMS, очкуют.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	32. "Демонстрация критической уязвимости Firefox на соревновании ..."	+/–
	Сообщение от Аноним (??) on 12-Мрт-12, 22:38
	> OpenVMS, очкуют. Ну ты предложи 60k$ и предоставь OpenVMS и браузер на ней, а мы посмотрим - очкуют или нет :)
	Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

	39. "Демонстрация критической уязвимости Firefox на соревновании ..."	+/–
	Сообщение от pavlinux (ok) on 13-Мрт-12, 00:55
	>> OpenVMS, очкуют. > Ну ты предложи 60k$ и предоставь OpenVMS и браузер на ней, а > мы посмотрим - очкуют или нет :) Вот тут  - http://www8.hp.com/us/en/contact-hp/contact.html
	Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

	3. "Демонстрация критической уязвимости Firefox на соревновании ..."	+1 +/–
	Сообщение от h31 (ok) on 12-Мрт-12, 01:22
	> А в других ос тогда как? Вряд ли будет какая разница. На какой-нибудь XP будет ещё проще.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	7. "Демонстрация критической уязвимости Firefox на соревновании ..."	+/–
	Сообщение от Ищавин (ok) on 12-Мрт-12, 02:06
	В win2k нету ни DEP, ни ASLR, так что там это вообще элементарно.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Демонстрация критической уязвимости Firefox на соревновании ..."	–23 +/–
Сообщение от iZEN (ok) on 12-Мрт-12, 01:31
Детские болезни дедушек всё ещё не излечимы. Я имею в виду языки программирования C/C++.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Демонстрация критической уязвимости Firefox на соревновании ..."	+4 +/–
	Сообщение от emg81 (ok) on 12-Мрт-12, 01:49
	иного коммента от Вас вряд ли кто-то ждал. "жду-нимагу" аналогов FF/Chrome на JAVA (да! О_О), чтобы был такой же функционал, потребление ресурсов, и без "детских болезней дедушек". разбудите, когда будет, ок? :)
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Демонстрация критической уязвимости Firefox на соревновании ..."	–11 +/–
	Сообщение от iZEN (ok) on 12-Мрт-12, 02:06
	> "жду-нимагу" аналогов FF/Chrome на JAVA (да! О_О), чтобы был такой же функционал, > потребление ресурсов, и без "детских болезней дедушек". > разбудите, когда будет, ок? :) Похоже, ты всё проспал. И Opera Mini, и китайский офисный пакет и браузер на Java. Но у тебя всё ещё есть возможность попробовать браузер на Java — он встроен в NetBeans.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "Демонстрация критической уязвимости Firefox на соревновании ..."	+/–
	Сообщение от Аноним (??) on 12-Мрт-12, 07:28
	Люди по привычке сатвят эту дурь под названием операмини. Пока продаётся симбиан и старые привычки не вышибутся так и будет. Но прирост пользователей хрома/фаерфокса побольше чем у этой недоделки.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	9. "Демонстрация критической уязвимости Firefox на соревновании ..."	+1 +/–
	Сообщение от Пр0х0жий (??) on 12-Мрт-12, 07:52
	Не по привычке. За системные требования браузера к памяти в 512Мб для мобильных устройств надо руки без наркоза отрывать за такую оптимизацию, чтоб другим неповадно было.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	12. "Демонстрация критической уязвимости Firefox на соревновании ..."	+/–
	Сообщение от Аноним (??) on 12-Мрт-12, 09:28
	Это вы о андроиде так ?:)
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	14. "Демонстрация критической уязвимости Firefox на соревновании ..."	+/–
	Сообщение от Пр0х0жий (??) on 12-Мрт-12, 09:54
	> Это вы о андроиде так ?:) Это про ФФ который для него
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	19. "Демонстрация критической уязвимости Firefox на соревновании ..."	+/–
	Сообщение от dd87 on 12-Мрт-12, 12:30
	не на последнем месте и сжатие трафика. не забывайте, не у всех канал «резиновый»
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	44. "Демонстрация критической уязвимости Firefox на соревновании ..."	+/–
	Сообщение от Аноним (??) on 13-Мрт-12, 12:28
	> не на последнем месте и сжатие трафика. Если забыть о том моменте что сервера оперы на половине сайтов забанены за избыток школья с этих самых серверов - оно даже ничего. Но половина сайтов давно внесло эти сервера в блеклист, по причине совершенно неадекватного и бесполезного контингента который оттуда прется. Лишний тому пруф - прямо здесь.
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	23. "Демонстрация критической уязвимости Firefox на соревновании ..."	+1 +/–
	Сообщение от Илья Шпаньков on 12-Мрт-12, 12:41
	> Люди по привычке сатвят эту дурь под названием операмини. Пока продаётся симбиан и старые привычки не вышибутся так и будет. Но прирост пользователей хрома/фаерфокса побольше чем у этой недоделки. Сравнивать мобильные браузеры Opera с десктопными Chrome/Firefox - это толстый троллинг. Это во-первых. А во-вторых, даже рост числа пользователей десктопных Chrome/Firefox не может сравниться с ростом числа пользователей мобильных версий Opera. Особенно в России. Кстати, несколько цифр. Среднемесячный прирост числа пользователей Opera Mini в России по платформам: JavaME - +5,5% Nokia - +10% Android - +24% iOS - +8%
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	28. "Демонстрация критической уязвимости Firefox на соревновании ..."	+/–
	Сообщение от Frank (ok) on 12-Мрт-12, 13:41
	> Android - +24% Да-да, реклама оперы мини в андроиде так и прёт изо всех щелей.
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	36. "Демонстрация критической уязвимости Firefox на соревновании ..."	+/–
	Сообщение от Илья Шпаньков on 13-Мрт-12, 00:40
	Щель покажете? :)
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

	10. "Демонстрация критической уязвимости Firefox на соревновании ..."	+/–
	Сообщение от Frank (ok) on 12-Мрт-12, 09:02
	Опа, в опере мини уже можно посмотреть ролики на ютубе? Или она всё ещё как из каменного века?
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	15. "Демонстрация критической уязвимости Firefox на соревновании ..."	+/–
	Сообщение от Пр0х0жий (??) on 12-Мрт-12, 09:59
	> Опа, в опере мини уже можно посмотреть ролики на ютубе? Или она > всё ещё как из каменного века? Вообще-то на оперовском сайте говорят что нет. Но на нем же говорят что да: http://my.opera.com/russian/forums/findpost.pl?id=10934442 И что интересно, работает даже на обычной звонилке. Правда пропорции корежит.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	24. "Демонстрация критической уязвимости Firefox на соревновании ..."	+/–
	Сообщение от Илья Шпаньков on 12-Мрт-12, 12:43
	> Опа, в опере мини уже можно посмотреть ролики на ютубе? Или она > всё ещё как из каменного века? Opera Mini автоматически передаёт ссылку встроенному плейеру в телефоне. Этого недостаточно? :)
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	27. "Демонстрация критической уязвимости Firefox на соревновании ..."	+/–
	Сообщение от Frank (ok) on 12-Мрт-12, 13:39
	> Opera Mini автоматически передаёт ссылку встроенному плейеру в телефоне. Этого недостаточно? :) Не знаю, несколько дней назад у меня в руках был "китайский айфон" с оперой мини и вайфаем, но мне не удалось ему объяснить, что интернет таки есть, ибо все ява проги почему-то хотели только мобильный тырнет. Так что проверить не получилось :)
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	11. "Демонстрация критической уязвимости Firefox на соревновании ..."	+1 +/–
	Сообщение от Аноним (??) on 12-Мрт-12, 09:26
	> Похоже, ты всё проспал. И Opera Mini, и китайский офисный пакет и В Opera Mini вся обработка страниц и рендеринг производится на внешнем сервисе, локальная программа только вывод транслирует.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Часть нити удалена модератором

	40. "Демонстрация критической уязвимости Firefox на соревновании ..."	+/–
	Сообщение от Frank (ok) on 13-Мрт-12, 01:37
	> 1. Что за блажь открывать локальную страницу, недоступную извне, из мобильного (!) > браузера? Он же принципиально работает вне вашей корпоративной сети. Допустим, нужно проверить как отображается разрабатываемый сайт на мобильном устройстве. Доступность разрабатываемого сайта в интернете недопустима по понятным причинам.
	Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

	41. "Демонстрация критической уязвимости Firefox на соревновании ..."	+/–
	Сообщение от Илья Шпаньков on 13-Мрт-12, 11:01
	> Допустим, нужно проверить как отображается разрабатываемый сайт на мобильном устройстве. Доступность разрабатываемого сайта в интернете недопустима по понятным причинам. Откройте для себя Opera Mobile Emulator: http://www.opera.com/developer/tools/mobile/
	Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

	25. "Демонстрация критической уязвимости Firefox на соревновании ..."	+/–
	Сообщение от Илья Шпаньков on 12-Мрт-12, 12:46
	>> Похоже, ты всё проспал. И Opera Mini, и китайский офисный пакет и > В Opera Mini вся обработка страниц и рендеринг производится на внешнем сервисе, > локальная программа только вывод транслирует. В Opera Mobile ядро и интерфейс работают на одном устройстве, в Opera Mini ядро находится на сервере, а на телефоне только клиентская часть. IMHO, очень умное решение.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	13. "Демонстрация критической уязвимости Firefox на соревновании ..."	+1 +/–
	Сообщение от Аноним (??) on 12-Мрт-12, 09:38
	> И Opera Mini Opera Mini это не браузер, а удалённая консоль к серверам Opera Software. Браузер это Opera Mobile.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	17. "Демонстрация критической уязвимости Firefox на соревновании ..."	+/–
	Сообщение от exl2003mail.ru on 12-Мрт-12, 10:37
	Не забывайте что только не давно Oracle полечил несколько критических уязвимостей самой JAVA  а уж об остальном лучше и не думать.....
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	22. "Демонстрация критической уязвимости Firefox на соревновании ..."	+/–
	Сообщение от Аноним (??) on 12-Мрт-12, 12:34
	> Не забывайте что только не давно Oracle полечил несколько критических уязвимостей самой > JAVA  а уж об остальном лучше и не думать..... А что, ядро Пингвинуса без греха? Тогда пусть лично Линус швыранет в нас булыжником. Да и в Оракл тоже, если уж на то пошло.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	35. "Демонстрация критической уязвимости Firefox на соревновании ..."	+/–
	Сообщение от Аноним (??) on 12-Мрт-12, 22:40
	> А что, ядро Пингвинуса без греха? Ну по крайней мере ремотно эксплойтабельные дыры в нем как-то нечасто попадаются.
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	29. "Демонстрация критической уязвимости Firefox на соревновании ..."	+/–
	Сообщение от Аноним (??) on 12-Мрт-12, 14:16
	Ви знаете, серьёзные программы на Java уже жрут меньше, чем эти Firefox и Chrome.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	31. "Демонстрация критической уязвимости Firefox на соревновании ..."	+/–
	Сообщение от noname (??) on 12-Мрт-12, 17:27
	Это какие, например?
	Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

	34. "Демонстрация критической уязвимости Firefox на соревновании ..."	+/–
	Сообщение от ку on 12-Мрт-12, 22:39
	> разбудите, когда будет, ок? :) Лезайте-ка в криокамеру =)
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	16. "Демонстрация критической уязвимости Firefox на соревновании ..."	+4 +/–
	Сообщение от Andrey Mitrofanov on 12-Мрт-12, 10:14
	> Детские болезни дедушек Как хорошо, что яЗен здоров и богат. И машет нам перьями со шляпы с белого коня! </joy>
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	42. "Демонстрация критической уязвимости Firefox на соревновании ..."	+/–
	Сообщение от Aaa on 13-Мрт-12, 11:20
	Плохому танцору всегда что-то мешает. С++ как и любой другой язык - это всего лишь инструмент, а вот кто и как им пользуется зависит от их квалификации
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	47. "Демонстрация критической уязвимости Firefox на соревновании ..."	–1 +/–
	Сообщение от iZEN (ok) on 13-Мрт-12, 15:58
	А что если я буду утверждать, что абсолютно все ошибки, связанные с переполнением буфера, прорыва программного стека и нарушением границ памяти связаны напрямую с особенностями реализации языка программирования высокого уровня C и C++ в частности? Заметьте: не низкоуровневая реализация среды исполнения, ни компилятора, а именно самого ЯВУ. Что вы на это скажете? "Писать надо уметь, тогда и ошибок не будет"? Не возражу. Трудно возразить на то, что НЕ_ПОДДЕРЖИВАЕТ хотя бы минимальный уровень качества программирования, как это делает Java.
	Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

	48. "Демонстрация критической уязвимости Firefox на соревновании ..."	+/–
	Сообщение от Aaa on 14-Мрт-12, 09:52
	> А что если я буду утверждать, что абсолютно все ошибки, связанные с > переполнением буфера, прорыва программного стека и нарушением границ памяти связаны напрямую > с особенностями реализации языка программирования высокого уровня C и C++ в > частности? Заметьте: не низкоуровневая реализация среды исполнения, ни компилятора, а > именно самого ЯВУ. Что вы на это скажете? "Писать надо уметь, > тогда и ошибок не будет"? Не возражу. Трудно возразить на то, > что НЕ_ПОДДЕРЖИВАЕТ хотя бы минимальный уровень качества программирования, как это делает > Java. В данном случае не "не поддерживает" а предоставляет больше возможностей, имеет большую гибкость. Поэтому их и используют как основной язык для системных приложений. Заметьте, все языки, которые обладают эффектом "синей бороды" (что разрешено - используй, а что нет - сразу по рукам) используют только на прикладном уровне. Потому что когда идет нестандартное окружение сразу появляются костыли, позволяющие обойти ограничения языка (например, попробуйте в Perl распарсить бинарный блоб известной вам структуры только средствами языка, не используя unpack). Как вы правильно указали, "Писать надо уметь" (притом это относится ко всем языкам), особенно если язык предоставляет эту возможность. Например в С++ есть очень хорошая концепция RAII. Даже просто следуя ей, можно забыть про сборщик мусора, так как эта работа ложится на компилятор. Так что еще раз повторюсь - тут вопрос только том, насколько человек владеет выбранным инструментом.
	Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема