Ранее мы писали, что Adobe добавила дополнительные функции безопасности для Flash Player под названием vector.uint exploit hardening. Они позволяют блокировать попытки злоумышленников использовать «хрупкие», с точки зрения безопасности, структуры в памяти, которые могут использоваться для срабатывания уязвимостей. Новая версия проигрывателя содержит дополнительные усовершенствованные механизмы для блокирования подобного рода эксплойтов.
Список исправленных уязвимостей.
- Следующие уязвимости несоответствия типов могут привести к удаленному исполнению кода (CVE-2015-5128, CVE-2015-5554, CVE-2015-5555, CVE-2015-5558, CVE-2015-5562).
- Следующие уязвимости типа use-after-free могут привести к удаленному исполнению кода (CVE-2015-5550, CVE-2015-5551, CVE-2015-3107, CVE-2015-5556, CVE-2015-5130, CVE-2015-5134, CVE-2015-5539, CVE-2015-5540, CVE-2015-5557, CVE-2015-5559, CVE-2015-5127, CVE-2015-5563, CVE-2015-5561, CVE-2015-5124, CVE-2015-5564).
- Следующие уязвимости типа HeapOverflow могут привести к удаленному исполнению кода (CVE-2015-5129, CVE-2015-5541).
- Следующие уязвимости типа BufferOverflow могут привести к удаленному исполнению кода (CVE-2015-5131, CVE-2015-5132, CVE-2015-5133).
- Следующие уязвимости типа memory-corruption могут привести к удаленному исполнению кода (CVE-2015-5544, CVE-2015-5545, CVE-2015-5546, CVE-2015-5547, CVE-2015-5548, CVE-2015-5549, CVE-2015-5552, CVE-2015-5553).
- Следующая уязвимость целочисленного переполнения может привести к удаленному исполнению кода (CVE-2015-5560).
Мы рекомендуем обновить используемый вами Flash Player. Такие браузеры как Internet Explorer 10 & 11 на Windows 8+ и Google Chrome обновляют свои версии Flash Player автоматически. Для IE см. обновляемое Security Advisory 2755801. Проверьте вашу версию Flash Player на актуальность здесь, ниже в таблице указаны эти версии для различных браузеров.
be secure.
Комментарии (18)
TheRabbitFlash
12.08.2015 17:31Я вам открою техническую тайну. MS совместно с Adobe реализовывали флеш плеер под браузер Edge. Условием было то, что они (Адобе) активно будут устранять security проблемы. Чем они и занимаются. Поэтому, нет ничего плохого, что пачками латают проблемы.
Все так любят обкакивать флеш. А забывают, что проблемы флеша решаются его выключением. А вот проблемы операционки и браузера просто так не решаются.
kozyabka
12.08.2015 20:01Часто люди плюются на флеш, не только из-за дыр(это не стойкий аргумент, так как дыры находят во всех платформах переодически, но никто не выключает виндовс, андроед и прочее), но и из-за напрягающих баннеров, анимаций на страницах. При этом не понимая, что если хтмл5 когда-нибудь сможет по возможностям и скорости разработки заменить флеш, то эти же тупые баннеры и анимации будут клепать на нем(хтмл5).
maksqwe
12.08.2015 17:40+6Хм… на сайте продукта от Andrey2008 буквально неделю назад появился в списке клиентов Adobe. www.viva64.com/en/customers
А их анализатор как раз и расчитан на поимку данного типа ошибок в коде, совпадение?
crackedmind
12.08.2015 22:10+1У Адоба куча софта, не факт что имено подразделение ответственное за флэш купило PVS Studio :)
rananyev
Лучше его отключить и не включать, как завещал нам Марк Шмидт, а не ждать 100500 багфиксов и новых фич.
Sergiy
а що видео стриминг в html5 уже работает на всех платформах?
gto
время задуматься о замене платформы. если вы ждали знака свыше, то это он.
Sergiy
На что менять, ладно минуснул кто-то мой коммент, но ответ дайте.
Что у HTML5 все так хорошо с AudioApi и видео стримингом? Я за HTML5, но если это работает из рук вон плохо?
gto
Видите в чём дело, технологии начинают развиваться когда ими начинают пользоваться. Форсните пользователя на использование платформ которые с html 5 проблем не имеют. Если это будет иметь массовый характер производители вынуждены будут подтягиваться и инвестировать в технологии, а не клепать заплатку на заплатке.
TheRabbitFlash
Что изменилось за последние 4 года в html5? Ну кроме того, что я выиграл футболку Microsoft с логотипом html5?
gto
Прошу прощения, мы сейчас говорим о html5 как стандарте или о его реализациях?
TheRabbitFlash
Ну у флеша проблем нет с «реализацией или стандартом». На флеше я сделал видеоплеер и могу смотреть его одинаково везде имея единый код.
А с html5 приходится шаманить под каждый браузер отдельно. Цена разработки — выше. А производительность — ниж.
Давайте не будем наркоманами, которые ставят флеш плеер, чтоб его удалить. Я первый его удалю. Но после того, как html5 станет по праву альтернативой, а не очередным патчем для тех, кто его удалил.
gto
Ну о проблемах с реализацией можно и поспорить и поговорить о видео в полэкрана с, например, хромкастом. Но не будем. Вопрос-то в том, что флеш сам по себе отдельный плагин, который на браузер навешивается. Считай отдельная программа. Конечно с каждым браузером не надо возиться, с таким же успехом можно видео медиаплеером по ссылке открывать.
И понятно, что Адобе за него цепляется. Кому же хочется такой кусок рынка терять. Но для конечных пользователей не лучше ли форсировать разработку новых технологий, которые будут уже интегрированны в среду (в данном случае браузер)?
TheRabbitFlash
Как человек, который общается очень много именно с end user — могу заявить, что пользователю без разницы как это сделано и как называется. Для него важно, чтоб ему это стоило как можно дешевле, работало как можно быстрее и глючило как можно реже.
Если сайты будут предлагать ссылку для копирования в медиаплеер внешний — пользователи так и будут поступать. Хотя бы потому, что медиаплеер в разы умнее флеш с хтмл5 вместе взятых. Меньше жрет ресурсов и уже точно не будет крутить рекламу по бокам. Которую, чтоб отключить, надо повозиться.
Что касается флеша как отдельной программы — нет и тут никаких проблем. Пользователи будут качать всё, что надо, лишь бы получить качественный доступ к контенту, а не такой, который призван что-то там вытеснить (как придумывали маркетологи). Владельцы Chrome и Win10 Edge не будут ничего качать — из коробки идет Flash…
Последние новости в области безопасности показали, что даже не имея внешних плагинов можно сломать браузер и получить доступ к информации на жестком диске жерты. Просто JS код, Firefox и их встроенный pdfviewer. И это лишь то, что мы знаем. А сколько еще всего, что мы не знаем… боюсь представить даже.
Но что сделать, чтоб пользователи ругали Flash? Правильно, устроить на него информационную атаку. Главное забыть дописать, что проблемы Flash на самом деле не проблемы, т.к. даже без Flash можно угнать что угодно с компа.
TheRabbitFlash
О, еще один господин, который отключает плагин и пишет об этом. Знаю ребят местных, которые это пишут в каждой статье про флеш. Мне одно не ясно- как у вас получается выключить уже выключенное? Научите меня. Я тогда смогу тратить уже потраченные деньги. Прям бездонная бочка возможностей открывается.
Марк Шмидт сбрился с дистанции, когда ему показали, что его слова — слова нуба. Он советовал юзать Google Swiffy для конвертации Flash в HTML5. Оказалось, что не работает. Он советовал верить в Shumway. Оказалось, что производительность еще хуже, чем у html5 canvas.
И на последок — Марк Шмидт втянул язык в желудок после того, как опубликовали уязвимости в pdf читалке, которая встроенна в Firefox. И она сделана не технологиях Adobe.
ZoomLS
А ещё лучше совсем удалить.