LINUX.ORG.RU

Я слышал, вы любите Flash? CVE-2015-3113

 , ,


0

1

https://helpx.adobe.com/security/products/flash-player/apsb15-14.html
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3113

NIST

Heap-based buffer overflow in Adobe Flash Player before 13.0.0.296 and 14.x through 18.x before 18.0.0.194 on Windows and OS X and before 11.2.202.468 on Linux allows remote attackers to execute arbitrary code via unspecified vectors, as exploited in the wild in June 2015.

В бубунте обновление уже прилетело.

Andrew ★★★ ()

вы любите flash

4.2. Flash не нужен.

Klymedy ★★★★★ ()

Я слышал, вы любите flash?

Не не не, вам неправильно показалось.

aes_ultimum ★★ ()

В популярном ПО находят уязвимости? Не может этого быть. Я просто не верю.

Ghostwolf ★★★ ()

Я слышал, вы любите flash?

По-моему кто-то форумом ошибся :)

invy ★★★★★ ()

Вы лучше расскажите на сколько это реально опасно. Вроде же пилили песочницу для, например, firefox. Так песочница помогает или нет?

true_admin ★★★★★ ()

Я слышал, вы любите Flash?

Меня не касается. Печалька (((.

mandala ★★★★ ()
Ответ на: комментарий от yurikoles

добавил тэг «сарказм»

А вот не надо было — тут совсем недавно все толксы соплями обмазали какой, мол, флеш был хороший и какой плохой и тормознутый ШТМЛ5.

Stahl ★★☆ ()
Ответ на: комментарий от Siado

Если персонально в твоей комнате он не популярен, это еще не повод бросаться на окружающих.

Ghostwolf ★★★ ()
Ответ на: комментарий от Siado

http://www.adobe.com/products/flashruntimes/statistics.html

More than 500 million devices are addressable today with Flash technology, and it is projected there will be over 1 billion addressable devices by the end of 2015.

More than 20,000 apps in mobile markets, like the Apple App Store and Google Play, are built using Flash technology.

24 of the top 25 Facebook games are built using Flash technology. The top 9 Flash technology enabled games in China generate over US$70 million a month.

More than 400 million connected desktops update to the new version of Flash Player within six weeks of release.

More than three million developers use the Adobe Flash technology to create engaging interactive and animated web content.

yurikoles ★★★ ()
Ответ на: комментарий от true_admin

Вы лучше расскажите на сколько это реально опасно

Ну я пока не слышал ни об одной пробивке через флеш, работающей на этих ваших 1% процентных линуксах - кому это надо с экономоической точки зрения...

fornlr ★★★★★ ()

before 13.0.0.296

У них и для оффтопика лтс ESR есть. Интересно, для чего?

greenman ★★★★★ ()
Последнее исправление: greenman (всего исправлений: 1)
Ответ на: комментарий от greenman

Интересно, для чего?

Чтобы не ломать бизнес-приложения, конечно же.

i-rinat ★★★★★ ()
Ответ на: комментарий от true_admin

Так песочница помогает или нет?

Если в песочницу засунуть сам firefox, то поможет. Собственно, у меня браузеры и всё, что регулярно ходит в сеть, так и живёт.

Sadler ★★★ ()
Ответ на: комментарий от i-rinat

Не совсем очевидно. Версия 11.х для линукса имеет же другое объяснение.

greenman ★★★★★ ()
Ответ на: комментарий от Siado

Flash он как вирус. В Chrome он из коробки, а это 25-40% по разным подсчётам. В IE Win8+ он из коробки. В Firefox/[Win|OSX] и Safari/OSX он ставится после захода на первый сайт с Flash, и обыватель таки ставит и не удаляет потом, а с версии 11.2 для Win версии там автообновления, т.е. с марта 2012го. В OSX с 11.3, июнь 2012.
Дальше будем спорить?

yurikoles ★★★ ()
Ответ на: комментарий от Stahl

А что там с уcкорением webm?

[yurikoles@arch-box ~]$ curl http://freedesktop.org/wiki/Software/VDPAU/ |grep -i "vp8\|vp9"
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  4379  100  4379    0     0   6266      0 --:--:-- --:--:-- --:--:--  6273
[yurikoles@arch-box ~]$
Ах, ну да, ничего.

yurikoles ★★★ ()
Последнее исправление: yurikoles (всего исправлений: 2)
Ответ на: комментарий от greenman

Не совсем очевидно.

Adobe makes available a version of Flash Player called the «Extended Support Release» (ESR) to organizations that prefer Flash Player stability over new functionality. We have created a branch of the Flash Player code that we keep up to date with all of the latest security updates, but none of the new features or bug fixes available in our current release branch. This allows organizations to certify and stay secure on Flash Player with minimal effort.

На Flex писали приложения-формы для работой с базами данных. Эдакий MS Access для веба. И эти приложения должны работать. Не будут же их переписывать по приходу каждой новой модной технологии.

i-rinat ★★★★★ ()

всякие тельавизоры на androiи старом flash этому подвержены?

int13h ★★★★★ ()
Ответ на: комментарий от i-rinat

Несомненно, твоя информация точна. Но для меня была неочевидной.

greenman ★★★★★ ()
Последнее исправление: greenman (всего исправлений: 1)

Я слышал, вы любите Flash?

Тут многие очень нахваливают его. Я его снёс со всех своих устройств в 2012. Почти весь веб прекрасно работает.

CYB3R ★★★★★ ()

[yo dawg.jpg]

А что, кто-то ещё пользуется этим ненужно? Ужас!

Deleted ()

«Удолил» Flash Player из системы пару месяцев назад и абсолютно доволен.

Jayrome ★★★★★ ()

Я очень рад, что флеш в моей работе почти полностью сдох и его можно дробнуть.

Но хорошо, что ты такой весь в белом плаще несешь нам свет своего ихдного сарказма! Как бы ты еще повыеживался то. Кроме как пнул ногой загибающуюся, но супер крутую для своего времени и своей ниши технологию.

dk- ()

Я слышал, вы любите Flash?

Выпилен даже на Шиндоуз_8.1.

Твою криокамеру уже починили, давай обратно.

Stil ★★★★★ ()
Ответ на: комментарий от yurikoles

Пруф того, что я его выпилил из своей венды?)

Ну говори как сделать)

Stil ★★★★★ ()
Ответ на: комментарий от Stil

Выпилен даже на Шиндоуз_8.1.

Выражайся яснее, например: «я сумел выпилить его со своей венды 8.1»

yurikoles ★★★ ()

для этого нужно загрузить специально-сформированное флеш-приложение?

bl ★★★ ()
Ответ на: комментарий от Sadler

Если в песочницу засунуть сам firefox, то поможет.

а что подразумевается под песочницей? chroot?

teod0r ★★★★★ ()
Ответ на: комментарий от teod0r

У меня сейчас винды, так что подразумевается изолированная ФС, память, реестр, контролируемый доступ к системным библиотекам и запрет запуска левых программ. В линуксе не знаю, чем можно добиться подобного эффекта, chroot, вроде, так не умеет.

Плюс у меня ещё включен откат песочницы в исходное состояние после завершения браузера. Эта фича не всегда оправдана (браузер приходится обновлять вручную), но зато гарантирует невозможность внедрения всякой дряни более, чем на один сеанс.

Sadler ★★★ ()
Последнее исправление: Sadler (всего исправлений: 1)

У меня, при включении в настройках VDPAU, крешится.

ZenitharChampion ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.