Adobe nie podziękował za ujawnione luki we Flashu

12.08.2011 17:43, Autor: Michał Majchrzycki (mmaj), Kategoria: News

Przedwczoraj informowaliśmy o wydaniu aktualizacji Flash Playera i środowiska AIR. Według specjalistów, Adobe zapomniał poinformować o ich pomocy.

Na współpracę z firmą Adobe narzeka pracownik Google’a, Tavis Ormandy. Ogłosił on na Twitterze, że sam odkrył we Flashu i poinformował o - uwaga - aż 400 dziurach. Luki co prawda zostały wyeliminowane w aktualizacji przez Adobe, ale jak twierdzi Ormandy, twórca Flasha nawet nie wspomniał o osobach pomagających w ich wykryciu. Dla porównania firmy takie jak na przykład Google czy Mozilla nie tylko dziękują swoim współpracownikom, ale co więcej płacą im za zgłoszenie wykrytych dziur w Chrome i Firefoksie. Ormandy zapowiedział już, że sam opublikuje wykryte luki.

Adobe w oświadczeniu prasowym na temat aktualizacji Flasha wspomina jedynie o 13 usuniętych lukach. Dlaczego nie powiadomił o pozostałych - nie wiadomo. Być może powodem jest współpraca firm Adobe i Google w sprawie rozwoju Flasha, który został wbudowany w przeglądarkę. Adobe mógł więc potraktować luki nadesłane przez Ormandy’ego jako wewnętrzne odkrycie. Inna możliwość to kwestia oceny, które ze zgłoszeń kwalifikują się do bycia luką. Adobe może mieć inny system oceniania w odróżnieniu od firmy Google.

komentarze (33) podobne

r e k l a m a

Komentarze (33)

TestamenT | 12.08.2011 17:49#1

Taka mała ciekawostka, twórcą flasha nie jest Adobe tylko Macromedia :)

mordzio | 12.08.2011 17:55#2

13 a 400 załatanych luk to spora różnica, no chyba że te 387 poprawek to tylko zmiany kosmetyczne.

kwpolska | 12.08.2011 18:02#3

@TestamenT:
od 5 lat macromedia nie istnieje, wiec panowie z adobe mieli duzo czasu zeby sie pobawic flashem.

kiemciu (niezalogowany) | 12.08.2011 18:30#4

o bidaki... nie podziękowali im

a na serio to nie przypuszczam, zeby oprogramowanie adobe mialo najwiecej dziur, popularnosc wiaze sie po prostu z tym ze wiecej ludzi szuka takich bledow
no i bardzo dobrze, ze znajduja, bo dzieki temu jest z oprogramowaniem coraz lepiej - a to przeciez powinno wszystkich chodzic

rzeczywiscie Adobe mogloby podziękować, w końcu to dzięki takim ludziom mogą za wczasu wyłapać groźne luki
Ale z drugiej strony nie zapominajmy ze teraz jest moda na wkopywanie Adobe, bo ono jest teraz diabłem i złem wcielonym :D

abc234 (niezalogowany) | 12.08.2011 18:31#5

niech oni się z tym falsem bujają, dziadostwo z tego flasha, wolny jak nic itp.

GalusAnonimus | 12.08.2011 18:35#6

No cóż widać że jeszcze nikt kultury i dobrych obyczajów Adobe nie nauczył.

Skoro ktoś poświęca swój prywatny czas na pomoc w rozwoju oprogramowania nie biorąc za to ani centa warto by chociaż wymienić jego nazwisko tak z grzeczności, tym bardziej że jest to powszechnie przyjęta praktyka.

Chyba że Adobe podchodzi do tego tak- kurde znowu znalazł luki w naszym sofcie i będziemy musieli to teraz naprawiać :P

TestamenT | 12.08.2011 18:41#7

@kwpolska tak się bawią że zabawka jest dziurawa. Ciekawe czy flash był taki dziurawy za czasów Macromedia.

Dobrze że przeglądarki izolują flasha bo czasem potrafi się wysypać. Choć głównie flasha używam do oglądania filmów.

users (niezalogowany) | 12.08.2011 18:46#8

http://niebezpiecznik.pl/PoC/Firefox_3.6/poc.html

Tu jest luka Mozilla moze byscie ja naprawili i zapłacili znalascy .
A mnie to zejdzie ze stanu .Przestanę was bombardować zgłoszeniami bo mam dość.

Powerfeniks | 12.08.2011 19:44#9

czyli Adobe=smitnik ;)

Powerfeniks | 12.08.2011 19:45#10

sory mialo byc zgnily smietnik ;)

Galnospoke | 12.08.2011 19:47#11

400?!

Anonim (niezalogowany) | 12.08.2011 20:07#12

nawet są problemy z instalatorem flasha takie to jest dziurawe

djDziadek | 12.08.2011 20:30#13

@GalusAnonimus - a jeśli ten pan robił to w pracy i jeszcze wysłał z firmowej poczty, to taka akcja powinna być traktowana jako "prywatna inicjatywa" ? czy może jednak jako wsparcie partnera ?
Nie wiem jak to było, więc nie oceniam :)
Ale 400 dziur robi wrażenie, nie myślałem nawet, że tam da się zostawić tyle niedoróbek :)

adi_rucio | 12.08.2011 20:43#14

Kultury matka w domu nie uczyła?!

webnull | 12.08.2011 21:20#15

400 dziur wykrytych przez jednego użytkownika? - Bardzo dużo.

"Ormandy zapowiedział już, że sam opublikuje wykryte luki."

I bardzo dobrze!

anonim++ (niezalogowany) | 12.08.2011 22:31#16

Tavis Ormandy tylko narobił roboty Adobe :), nawet nie podziękowali mu, co za ludzie.

subarumax | 12.08.2011 23:01#17

Nie raczą podziękować, to teraz powinni oddawać z procentem.

diana2234 (niezalogowany) | 12.08.2011 23:34#18

za te odkryte luki powinien chociaż dostać darmowe oprogramowanie.

Ncik (niezalogowany) | 13.08.2011 7:44#19

@djDziadek oczu tu nam nie mydlij, bo z tego co jest napisane to mimo, ze to jest pracownik Google'a to Google mu placi za wykryte dziury. Co wiecej nawet mu podziekuja. Zreszta wystarczy zobaczyc na podobne aktualnosci po lewej przy tym newsie. Co drugi artykul to "Znaleziono dziury we flashu" i "Adobe łata dziury".

przemo_li | 13.08.2011 8:16#20

Zwykły PR ze strony Adobe.

13 luk brzmi lepiej niż:
413 luk.

Prawda?

KONTO USUNIĘTE | 13.08.2011 9:46#21

Wszyscy narzekają na flasha - faktycznie może nie jest idealny, ale weźcie pod uwagę, że co co proponują w zamian w ramach tzw. HTML5 ma dużo większe wymagania sprzętowe. Czyli odejście od flasha oznaczać będzie dla wielu ludzi wydatki...

Anonim (niezalogowany) | 13.08.2011 9:59#22

@juzo8
Weź pod uwagę, że specyfikacja HTML5 wciąż nie jest gotowa. Są rzeczy, które działają przyzwoicie i są, które działają strasznie, ale to nie powinno nikogo dziwic, ponieważ nie ma oficjalnie HTML5 (i minimum kilka ładnych lat upłynie jeszcze...).

newum (niezalogowany) | 13.08.2011 12:06#23

Zdarzają sie sytuacje ze 300 luk jest w rzeczywistości spowodowane przez 1 funkcje, która wykorzystana została w 300 miejscach w kodzie aplikacji czyniąc je podatne na dany typ ataku, wiec niekoniecznie liczba zgłoszeń == liczba rzeczywistych luk wymagających poprawek.

StawikPiast | 13.08.2011 12:35#24

coz niby ladnie podziekowac, ale takiego obowiazku nie ma, to tylko kwestia kultury. Jednak dopominanie sie o podziekowanie jest tylko pokazaniem jakim to sie jest burakiem. Czlowiek kulturalny nie dopomina sie o podziekowania. Wiec nie wiem kto byl gorszy Adobe, ktory nie podziekowal czy pracownik Google, ktory domaga sie podziekowan.

przemo_li | 13.08.2011 13:33#25

@juzo8
Jakieś argumenty dlaczego Flash jest mniej zasobożerny i/lub HTML5 nigdy nie zejdzie poniżej poziomu flasha?

przemo_li | 13.08.2011 13:34#26

@StawikPiast
Nie wiesz jak przebiegała relacja Adobe-ten gościu. W każdym razie ja bym się oburzył gdyby Adobe "pominęło" info o moim wkładzie w ich produkt. Oczywiście ten pan mógł być opłacony za tą pracę, ale niekoniecznie.

bartekc (niezalogowany) | 13.08.2011 16:18#27

Watpie, ze jeden gosc sam znalazl 400 dziur

GalusAnonimus | 13.08.2011 19:19#28

@djDziadek | 12.08.2011 20:30#13
@GalusAnonimus - a jeśli ten pan robił to w pracy i jeszcze wysłał z firmowej poczty, to taka akcja powinna być traktowana jako "prywatna inicjatywa" ? czy może jednak jako wsparcie partnera ?

===

Na pewno nie robił tego w ramach swojego czasu pracy, mógł natomiast zajmować się tym w ramach 20% wolnego czasu które Google daje wszystkim swoim pracownikom na to żeby robili co im się podoba, a jeśli tak to tak samo należą mu się podziękowania jakby i w domu się tym zajmował, bo to jego prywatny czas jest.

as3 (niezalogowany) | 13.08.2011 21:38#29

"400 dziur..."- podejrzewam że chodzi tutaj raczej o około 400 elementów gdzie w.w. pracownik "Google" widzi subiektywnie możliwości poprawy: wydajności, kompatybilności, użyteczności a czasem(albo nie czasem a... w szczególności) także i ułomności w bezpieczeństwie ...(tylko trudno oszacować w jakich proporcjach to się kształtuje)...

tttom (niezalogowany) | 14.08.2011 6:51#30

Dla mnie to jest po prostu śmieszne i dziwaczne, że jakiś koleś siedzi i szuka sobie jakichś dziur w oprogramowaniu. Rozumiem gdyby mieszkał gdzieś na Syberii gdzie np nie dociera sygnał tv i nie ma żadnych kobiet w promieniu 5 tys. km. To jakiś frajer po prostu, a kto by się bawił w podziękowania dla frajerów.

przemo_li | 14.08.2011 9:43#31

@bartekc @as3
Nie ważne czy to są dziury bezpieczeństwa czy nie i nie ważne czy to tylko jego dzieło czy nie. Jeśli Apple wykorzystało jego pracę, to przynajmnije powinno podziękować. (Tego nawet w przedszkolu uczą).

.slaw | 14.08.2011 11:37#32

Jakby Adobe miał płacić za odkrycie luk, pewnie by zbankrutował.

bartekc (niezalogowany) | 15.08.2011 15:57#33

Teraz mam pytanie do autora dlaczego szerzy plotki ? :)

-> http://www.adobe.com/support/security/bulletins/apsb11-21.html, prosze przeczytać Acknowledgments
są tam podzękowania nie tylko dla tego gościa od Google ale dla reszty. Poza tym te luki dotyczą 6 produktów flashplayera i air, a nie tylko jednego.

Sam autor przyznaje, że Adobe załatało około 400 wrażliwości (nie dziur!!!) znalezionych przez niego.
"Adobe patched around 400 unique vulnerabilities I had sent them in APSB11-21 as part of an ongoing security audit. Not a typo."

Tutaj jest przebieg tego zdarzenia:
http://googleonlinesecurity.blogspot.com/2011/08/fuzzing-at-scale.html

"In the final analysis, the Flash Player update Adobe shipped earlier this week contained about 80 code changes to fix these bugs."

W dokumencie możemy przeczytać o tym, jak wylądał test i że po wykonaniu testu wykryto 400 bugów z których wiele to były duplikaty.

Dodaj komentarz

Zasady publikowania komentarzy

Prosimy o wypowiadanie się w komentarzach w sposób uprzejmy, z poszanowaniem innych uczestników dyskusji i ich odrębnych stanowisk.
Szczegółowe zasady publikowania komentarzy.