В Google Chrome закрыли 6 уязвимостей

comodo · 28-03-11 11:26:35

Выпущено очередное обновление для известного Интернет-обозревателя - до версии 10.0.648.204. Согласно сведениям, опубликованным Google, в пакете содержатся патчи, ликвидирующие шесть опасных изъянов.

Действительно, аналитики компании-производителя отметили все уязвимости, эксплуатацию которых предотвращает вышедшее исправление, высоким уровнем риска. По шкале Google он является третьим по степени опасности из четырех; в эту категорию обычно попадают ошибки, злонамеренное использование которых может привести к раскрытию конфиденциальных данных, вмешательству в параметры безопасности обозревателя и исполнению произвольного кода в защищенной среде (т.е. в "песочнице").

Интернет-издание V3.co.uk отмечает, что все ликвидированные уязвимости были выявлены посторонними исследователями, а не сотрудниками Google. Следуя своей обычной практике, компания назначила вознаграждение за каждый изъян; минимальная сумма выплат составила 500 долларов, максимальная - 2000. Общий объем премиальных в итоге оказался равен 8500 долларам, 7000 из которых достались одному и тому же специалисту - Сергею Глазунову (он обнаружил четыре из шести ошибок безопасности).
Ссылка www.v3.co.uk/v3-uk/news/2037599/google- … ome-update

Добавлено спустя 01 мин 44 с:

comodo пишет:

что все ликвидированные уязвимости были выявлены посторонними исследователями, а не сотрудниками Google.

Интересно почему это сотрудники не хотят заниматься своим детищем ?

nixadmin · 28-03-11 12:36:31

ну закрыли - молодцы! в чём новость то? МС, ЕМНИП патчсеты ежемесячно выпускает.

comodo пишет:

Интересно почему это сотрудники не хотят заниматься своим детищем ?

Они занимаются, но кроме того привлекают всех желающих поучаствовать в улучщении браузера (как видно из новости - не бесплатно - $500-$2000 за багрепорт - очень недурно, ИМХО)

comodo · 28-03-11 12:39:28

nixadmin
Не много ли уязвимостей ? За этот год уже 6 раз делали исправления. Вот поэтому и закралась такая мысль что не занимаются.

nixadmin · 28-03-11 12:48:09

Главное - своевременное исправление уязвимостей.
Вот, Вы ругаете FF за проблемы безопасности, а на Pwn2Own FF и Chrome взломаны небыли, в отличии от Safari и IE smile

Svart Testare · 28-03-11 12:50:46

nixadmin пишет:

а на Pwn2Own FF и Chrome взломаны небыли

Конечно, ведь за день до соревнования Google впопыхах заделал кучу дыр.

nixadmin · 28-03-11 12:55:00

Svart Testare пишет:

Конечно, ведь за день до соревнования Google впопыхах заделал кучу дыр.

Ага, и Лису докучи подлатали, да? smile

По теме - я не вижу ничё плохого в патчсетах и в наградах для активных пользователей (которые своими багрепортами делают Хром безопасней)

Svart Testare · 28-03-11 12:59:35

nixadmin пишет:

Ага, и Лису докучи подлатали, да?

По сути её вообще особо и не ломали, так что повезло Mozilla!

However, Firefox contestant Sam Thomas withdrew as he felt his exploit wasn't stable, and the competitors on the other platforms failed to turn up.

comodo · 28-03-11 13:00:42

nixadmin пишет:

По теме - я не вижу ничё плохого в патчсетах и в наградах для активных пользователей (которые своими багрепортами делают Хром безопасней)

Да не кто не говорит что это плохо. Но в сфере безопасности должны работать именно разработчики.

nixadmin · 28-03-11 13:09:18

comodo пишет:

Но в сфере безопасности должны работать именно разработчики.

по большому счёту Хром - опенсорc, основной вклад в его разработку делает Google, однако любой может поучаствоать в разработке и фактически станет разработчиком (или тестером как в данном примере).

comodo · 28-03-11 13:19:11

nixadmin пишет:

по большому счёту Хром - опенсорc, основной вклад в его разработку делает Google, однако любой может поучаствоать в разработке и фактически станет разработчиком (или тестером как в данном примере).

А вот жаль что такой подход. Для меня опенсорc это снятие с себя какой-либо ответственности за ПО обеспечение, безопасность и т.д.

SemyonKozakov · 28-03-11 13:25:52

comodo пишет:

Для меня опенсорc это снятие с себя какой-либо ответственности за ПО обеспечение, безопасность и т.д.

У вас плохое мнение об OpenSource. Хотя вынужден согласиться: автор OpenSource не несёт никакой ответственности за все пункты. Хотя, скажу вам по секрету, её в большинстве своём не несёт и пропиетарщина big_smile В их лицензиях есть такие пункты. Однако в случае с платным софтом производитель вынужден исправлять, а иначе останется без клиентов. Тут уж решать вам, что лучше: заплатить или на себя взять все риски.

nixadmin · 28-03-11 13:29:07

SemyonKozakov пишет:

Однако в случае с платным софтом производитель вынужден исправлять, а иначе останется без клиентов.

В случае серьёзного открытого проекта (тот же Chrome, Android, RedHat Enterprise Linux) производители так же вынуждены исправлять ошибки в своих продуктах, по тем же самым причинам, в противном случае останутся без клиентов и денег. Software As Service же smile

Отредактировано nixadmin (28-03-11 13:29:20)

comodo · 28-03-11 13:29:27

SemyonKozakov пишет:

У вас плохое мнение об OpenSource.

Я бы хотел его улучшить честно big_smile

Linups_Troolvalds · 29-03-11 00:10:39

«Security is a process, not a product» © Bruce Schneier
В этом смысле количество обнаруженных „дыр“ в одном ПО является гораздо более позитивным показателем, чем количество не найденных в другом, особенно если его и поломали.

petyan · 29-03-11 14:58:29

Конечно, ведь за день до соревнования Google впопыхах заделал кучу дыр.

Так молодцы! В отличие от...

MOP3E · 29-03-11 17:42:01

petyan пишет:

Так молодцы! В отличие от...

То есть заделать кучу дыр "для галочки", лишь бы не продуть на соревнованиях - это теперь называется "молодцы"? В остальное же время гуглю на уязвимости, похоже, плевать.

Mazzy · 29-03-11 17:43:06

MOP3E пишет:

То есть заделать кучу дыр "для галочки", лишь бы не продуть на соревнованиях - это теперь называется "молодцы"? В остальное же время гуглю на уязвимости, похоже, плевать

Ну пруф же, а?

Svart Testare · 29-03-11 17:46:16

MOP3E,
Они упорно не замечают ссылки с инфой от Secunia, что в хроме дырищ больше чем в IE в разы.

Mazzy · 29-03-11 17:47:30

Svart Testare пишет:

Они упорно не замечают ссылки с инфой от Secunia, что в хроме дырищ больше чем в IE в разы.

Нет, о уязвимостях я знаю. Мне пруф на "То есть заделать кучу дыр "для галочки", лишь бы не продуть на соревнованиях" и "гуглю на уязвимости, похоже, плевать."

Svart Testare · 29-03-11 17:48:30

Mazzy пишет:

То есть заделать кучу дыр "для галочки", лишь бы не продуть на соревнованиях

А как вы думаете зачем они перед самыми соревнованиями заделывали дыры? Вот у MS есть график выхода патчей и никакие олимпиады не могут его изменить.

Mazzy · 29-03-11 17:50:40

Svart Testare пишет:

А как вы думаете зачем они перед самыми соревнованиями заделывали дыры? Вот у MS есть график выхода патчей и никакие олимпиады не могут его изменить.

Но это как посмотреть, чей подход лучше. МС ждет время Ч для выхода патча, а гугл выпускает патч сразу по мере затыкания дыр.

Svart Testare · 29-03-11 17:51:57

Mazzy пишет:

а гугл выпускает патч сразу по мере затыкания дыр.

Если бы они так делали, то на секунии не было бы того клондайка дыр в хроме. Да и спонтанно затыкать дыры слишком дорого. Дешевле когда всё по расписанию и никто никуда не торопится.

MOP3E · 29-03-11 17:54:40

Mazzy пишет:

угл выпускает патч сразу по мере затыкания дыр

Гугл выпускает патч когда жареный петух в голову клюнет. В данном случае - за день до соревнований.

SemyonKozakov · 29-03-11 17:55:39

Svart Testare пишет:

А как вы думаете зачем они перед самыми соревнованиями заделывали дыры?

Google на этом соревновании обещали, что хакер, который нагнёт на нём Chrome. получит 25000$. Само собой, много любителей халявной деньги ринулись искать дыры в Chrome, и нашлась их туева хуча. В Google, естественно, всё это постарались закрыть ещё до соревнования.

Mazzy · 29-03-11 17:57:03

Svart Testare пишет:

А как вы думаете зачем они перед самыми соревнованиями заделывали дыры?

Ну хоть один очевидный плюс такого мероприятия:хоть дыры подлатать есть резон big_smile

Форум StopLinux

Объявление

#1 28-03-11 11:26:35

В Google Chrome закрыли 6 уязвимостей

#2 28-03-11 12:36:31

Re: В Google Chrome закрыли 6 уязвимостей

#3 28-03-11 12:39:28

Re: В Google Chrome закрыли 6 уязвимостей

#4 28-03-11 12:48:09

Re: В Google Chrome закрыли 6 уязвимостей

#5 28-03-11 12:50:46

Re: В Google Chrome закрыли 6 уязвимостей

#6 28-03-11 12:55:00

Re: В Google Chrome закрыли 6 уязвимостей

#7 28-03-11 12:59:35

Re: В Google Chrome закрыли 6 уязвимостей

#8 28-03-11 13:00:42

Re: В Google Chrome закрыли 6 уязвимостей

#9 28-03-11 13:09:18

Re: В Google Chrome закрыли 6 уязвимостей

#10 28-03-11 13:19:11

Re: В Google Chrome закрыли 6 уязвимостей

#11 28-03-11 13:25:52

Re: В Google Chrome закрыли 6 уязвимостей

#12 28-03-11 13:29:07

Re: В Google Chrome закрыли 6 уязвимостей

#13 28-03-11 13:29:27

Re: В Google Chrome закрыли 6 уязвимостей

#14 29-03-11 00:10:39

Re: В Google Chrome закрыли 6 уязвимостей

#15 29-03-11 14:58:29

Re: В Google Chrome закрыли 6 уязвимостей

#16 29-03-11 17:42:01

Re: В Google Chrome закрыли 6 уязвимостей

#17 29-03-11 17:43:06

Re: В Google Chrome закрыли 6 уязвимостей

#18 29-03-11 17:46:16

Re: В Google Chrome закрыли 6 уязвимостей

#19 29-03-11 17:47:30

Re: В Google Chrome закрыли 6 уязвимостей

#20 29-03-11 17:48:30

Re: В Google Chrome закрыли 6 уязвимостей

#21 29-03-11 17:50:40

Re: В Google Chrome закрыли 6 уязвимостей

#22 29-03-11 17:51:57

Re: В Google Chrome закрыли 6 уязвимостей

#23 29-03-11 17:54:40

Re: В Google Chrome закрыли 6 уязвимостей

#24 29-03-11 17:55:39

Re: В Google Chrome закрыли 6 уязвимостей

#25 29-03-11 17:57:03

Re: В Google Chrome закрыли 6 уязвимостей

Подвал форума