Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Mennyi a CVE?

2011.08.15. 21:55 | buherator | 3 komment

Az elmúlt héten sokan felkapták a fejüket, mikor Tavis Ormandy - aki a Google szakértője, és mellesleg nem szokott finomkodni, ha hibajelentésről van szó - Twitteren bejelentette, hogy az Adobe Flash aktuális javítócsomagjában kb. 400 hibát javítottak, miközben a bulletin mindössze 13 hibajegyet tartalmazott. 

El kellett telnie néhány napnak, mire tisztázódtak a dolgok, de szerencsére ebben az esetben összeborulással zárult a történet. A Google és az Adobe is hivatalos blogposztban emlékezik meg az esetről, ezeken keresztül pedig érdekes információkkal lehetünk gazdagabbak a két óriáscég biztonsági csoportjainak együttműködésével kapcsolatban.

A 400 hiba nem tévedés, a Google-nél a Chrome-Flash integráció miatt nagyszabású fuzz teszteket végeznek a lejátszón. Ehhez jelen esetben a keresőóriás adatbázisainak segítségével először összeszedtek 20 TB SWF fájlt, melyekből egy olyan részhalmazt választottak ki, amelyek lejátszásakor a Flashben a lehető legtöbb kód-útvonal kerül bejárásra. Ehhez 2000 CPU magra és kb. egy hétre volt szükség. Végül a kiválaszott 20.000 fájlt három héten keresztül mutációs algoritmussal fuzzolták a 2000 magon, így esett ki 400 különbözőnek látszó hiba.

Ezek közül első körben 106 különböző biztonsági problémát azonosítottak, melyeket nagyjából 80 kódmódosítással javítottak. Mivel azonban az Adobe nem szokott CVE azonosítókat rendelni a belső vizsgálatok során felfedezett, nem kihasznált hibákhoz, Ormandy és csapatának munkájára csak a köszönetnyílvánító szekcióban utaltak.

És akkor néhány tanulság:

  • A CVE jegyek számának összehasonlítása egy nagyon rossz módszer egy termék biztonsági szintjének megállapításához, hiszen sok problémához nem rendelnek ilyen azonosítókat.
  • A cégek közti együttműködésnek eredményeként rövid idő alatt sok hibát lehet javítani.
  • A Flash még ennyi év és rászánt kutatás után is ontja magából a hibákat...

Címkék: google flash adobe fuzzing tavis ormandy cve

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

RobbeR 2011.08.16. 02:40:46

Ez a flash tobb kart csinalt eddig a weben, mint hasznot

_2501 2011.08.16. 12:42:27

@RobbeR: nézőpont kérdése. sokáig nem volt alternatívája, és olyan felhasználói élményt hozott a webre amit mással akkor még nem lehetett, egy új irányt mutatott a dinamikus web felé. lejárt az ideje, még egy kis idő amíg más technológiák kiforrják magukat. másik oldalról meg fos bugware.

domi007 2011.08.17. 17:16:02

"Ehhez 2000 CPU magra és kb. egy hétre volt szükség. Végül a kiválaszott 20.000 fájlt három héten keresztül mutációs algoritmussal fuzzolták a 2000 magon, így esett ki 400 különbözőnek látszó hiba."

Hát nem kispályásan tolják, az biztos :O
süti beállítások módosítása