LINUX.ORG.RU
НовостиБезопасность

Внедрение произвольных HTTP заголовков в Adobe Flash Player Plugin


0

0

Уязвимость существует из-за недостаточной проверки входных данных в функции addRequestHeader(). Удаленный пользователь может вызвать функцию addRequestHeader() и добавить произвольные заголовки к HTTP запросу Flash Player.

Уязвимость существует из-за недостаточной обработки атрибута contentType. Злоумышленник может с помощью специально сформированного значения contentType указать произвольные заголовки для HTTP запроса.

Злоумышленник может воспользоваться описанными по ссылке уязвимостями для проведения CSRF атак.

Подверженные уязвимости версии:
Flash Player Plugin 9.0.16 и более ранние версии.
Flash Player Plugin 7.0.63 for Linux, возможно более ранние версии

>>> Подробности

★★★★★

Проверено: Shaman007 ()

Вот и новость про уязвимость :)))

AsphyX ★★★
()
Ответ на: комментарий от Lumi 

Вау, они уже 9-ку выпустили?
Как я прозевал?!
Даже не порадоваться, уже и смотреть не надо - сломано =(

ManJak ★★★★★
()

Братья-хаккеры радуют недетской оперативностью, задорно и весело заруливая проприетарщину на уготованное ей изначально место, респект неизвестным героям.

Gharik
()

> самый простой и эффективный способ заблокировать flash в браузере -- удалить плагин

а как сделать, чтобы ff при этом не предлагал постоянно его скачать?

KA6AH
()
Ответ на: комментарий от anonymous

> Гаварю вам Internet Explorer 7 вышел. Нет причин для беспокойства. И это погремуху тоже на днях опустят.

anonymous
()

до шестого флеша по-моему эта фигня была. это ужасно страшная дыра - скорее отключайте плагин!

cens
()
Ответ на: комментарий от Lumi

> The current Linux build is 9.0.21.55.

> Flash Player Plugin 9.0.16 и более ранние версии.

чуешь Тай^Wразницу ? тут все наоборот

Syncro ★★★★★
()
Ответ на: комментарий от KA6AH

>а как сделать, чтобы ff при этом не предлагал постоянно его скачать?

А он предлагает? o_O

Вот уж точно, не зря я всегда говорил -- ff для тех, кому ооочень не хватает IE...

AsphyX ★★★
()
Ответ на: комментарий от KA6AH

1) в настройках adblock добавить фильтр: http://*.swf

2) перезагрузить страничку/и

anonymous
()
Ответ на: комментарий от KA6AH

> > самый простой и эффективный способ заблокировать flash в браузере -- удалить плагин

> а как сделать, чтобы ff при этом не предлагал постоянно его скачать?

Есть более радикальные методы, например настройка squid. Я вот дома сделал, и теперь наш общий провайдер (:) недополучает моего бабла за счёт кеширования трафика и полной резки банеров. Если дома больше одной машины, то ценность squid ещё больше возрастает.

Очень рекомендую. Конфигами могу поделиться.

AK

ioctl
()
Ответ на: комментарий от KA6AH

> а как сделать, чтобы ff при этом не предлагал постоянно его скачать?

в строке адреса набрать about:config
найти ключ plugin.default_plugin_disabled, и установить его значение в "false"
для надежности, также можно установить в "false" значение ключа plugin.scan.plid.all, там же. Это отключит автоматический поиск плагинов в интернете.

firsttimeuser ★★★★★
()

>>> Подверженные уязвимости версии:

Обновляйтесь, блин, для чего же обновления и выпускают, новый плеер под линух пофиксен!

You have version 9,0,21,55 installed :)

Den0k
()
Ответ на: комментарий от anonymous

Ты опять не понял! Это в линукс возможность модификации заголовков - это баг. В более продвинутых системах это "фича", существенно упрощающая разработчикам отладку приложения на стороне клиента.

Возможность обнаружить ошибку у клиента, закачать и установить обновление, причём так, чтоб клиент не знал и, следовательно, не волновался об этой проблеме - разве не за этим будущее?!!

pv4 ★★
()
Ответ на: комментарий от pv4

>Возможность обнаружить ошибку у клиента, закачать и установить обновление, причём так, чтоб клиент не знал

s/обновление/троян

blaster999 ★★
()

Оволосеть, это ж на каждом сайте баннеров пачками. Не говоря уже про дебильные меню и "кнопачки". Интернет всё больше похож на помойку, вебдизайнеры на крыс.

manokur ★★
()
Ответ на: комментарий от pv4

Не хочу, чтоб за меня решали. Будущее не за тем. чтоб кто-то меня апдейтил. Вспомни про DRM.

anonymous
()
Ответ на: комментарий от B084

> Уже опустили :)

Причём одновременно с официальным выпуском :)

los_nikos ★★★★★
() автор топика
Ответ на: комментарий от RAS

> В вашей деревне до сих пор трафик считают?

Считают.

А также ценят своё время и нервы.

Посидишь так за баннеррезкой, попривыкнешь, а потом у знакомых выходишь в Инет напрямую, так просто плющит от обилия цветастых дрыгающихся картинок на знакомых информационных ресурсах.

AK

ioctl
()
Ответ на: комментарий от AsphyX

> Вот уж точно, не зря я всегда говорил -- ff для тех, кому ооочень не хватает IE

IE точно так же постоянно предлагает флеш скачать. А вообще это такая программка, которой можно зайти на сайт мозиллы и скачать firefox =)

KA6AH
()

Короче как и следовало ожидать: флэш как всегода рулит фтопку ;)

Quasar ★★★★★
()
Ответ на: комментарий от alt0v14

>казалось бы, причем тут линукс

И впарвду... Причём тут Линукс?.. А оказывается этот плейер под него сделан :)

Quasar ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Безопасность