Comments 92
Если команда Opera будет работать с прежней скоростью, то патча ждать долго не придется…
Поспешишь — дурака насмешишь.
100%.
100%.
это не проблема новой версии, а проблема всей 10-й серии.
Думаю что вполне логичны 2 варианта:
1) Если бы оперовцы не торопились, то они застали бы открытие этой уязвимости и поправили бы ее к релизу.
2) Если бы оперовцы не торопились, то они возможно бы и сами нашли ее и исправили к релизу.
Мне очень нравится опера, но я не люблю поспешности, которая сказывается на качестве…
1) Если бы оперовцы не торопились, то они застали бы открытие этой уязвимости и поправили бы ее к релизу.
2) Если бы оперовцы не торопились, то они возможно бы и сами нашли ее и исправили к релизу.
Мне очень нравится опера, но я не люблю поспешности, которая сказывается на качестве…
Если бы оперовцы не торопились, то бы не успели к экрану выбора браузера, и не получили бы утраивание скачиваний.
О да… знаете, наверное лучше бы им было поставить 10.10 в экран выбора.
А знаете почему? потому что доделанный продукт выглядит гораздо привлекательней, чем сырой.
И даже те, кто никогда не пользовался оперой, получали удольвотворение от пользования им.
А не расстройства от недоделанности…
и кстати, откуда данные об утраивании скачиваний?
А знаете почему? потому что доделанный продукт выглядит гораздо привлекательней, чем сырой.
И даже те, кто никогда не пользовался оперой, получали удольвотворение от пользования им.
А не расстройства от недоделанности…
и кстати, откуда данные об утраивании скачиваний?
https://twitter.com/opera_ru/status/9932874929
10.50 мне очень нравится, беты были нестабильны, но релиз вроде ещё не падал и все работает. Пользуюсь и получаю удовольствие.
У меня падал, к сожалению… хотя мне опера, и опера 10.50 в частности очень нравится, уже пару лет опера — это мой десктопный броузер… (все остальные, так, верстку тестировать)
10.50 вышла сырая, как ни крути. Иногда внезапно падает. Иногда все ссылки на странице становятся недействующими, позже работоспособность восстанавливается сама по себе.
Вот тут пишут, что уязвимости подвержены версии, начиная от 9.64…
Ага, и новых критических багов.
надеюсь, в жизни ситуация гораздо лучше, чем на этой картинке
Кто-то действительно верит, что Explorer самый безопасный браузер?
Microsoft верит в это свято
Не понял, что вы хотели сказать.
Да у вас и правда плохо с юмором :(
Дабы не вводить всех в заблуждение, я тут оставлю ссылочку habrahabr.ru/company/opera/blog/85749/
Потом еще говорят: «Я на хабре каждый день, дайте инвайт»
Потом еще говорят: «Я на хабре каждый день, дайте инвайт»
Удачи тем, кто так думает ;D
Так все таки это правда…
Возможно он и самый безопасный, но в то же время это самый медленный и ресурсоемкий браузер.
Тут недавно новость проскакивала :)
«Корпорация Microsoft обратилась к пользователям операционной системы Windows XP с просьбой не нажимать кнопку F1 («Помощь»), когда об этом просит какой-либо из сайтов
Как сообщили в компании, это действие несет риск заражения в том случае, если используется браузер Internet Explorer версий 7 или 8.»
Не вижу безопасности «на 80% больше» :)
«Корпорация Microsoft обратилась к пользователям операционной системы Windows XP с просьбой не нажимать кнопку F1 («Помощь»), когда об этом просит какой-либо из сайтов
Как сообщили в компании, это действие несет риск заражения в том случае, если используется браузер Internet Explorer версий 7 или 8.»
Не вижу безопасности «на 80% больше» :)
пост закрыт.
Ну хочется пожелать разработчикам успехов в скорейшем выпуске пачта.
Надеюсь это будет как можно быстрее, и люди неуспеют нарватся на данный эксплойт, что бы не разачароватся в браузере
Надеюсь это будет как можно быстрее, и люди неуспеют нарватся на данный эксплойт, что бы не разачароватся в браузере
UFO just landed and posted this here
Вот к чему привела авральная разработка версии 10.50. Надо было больше времени проводить стадию RC.
Стоит 10.50, когда флеш играет иногда грузит проц на 99%, да вообще частенько зависает. Жалею, что обновился с 9.80 :(
Какой же это процессор-то? сколько оперативной-то?
согласен, 10.50 даже больше лагает чем 10.10… :(
а я так верил…
а я так верил…
Версии 9.80 не существует.
У Opera 10.00 и 10.10 user agent «Opera/9.80»
dev.opera.com/forums/topic/277181
dev.opera.com/forums/topic/277181
ДА Вы что??? Опера самый быстрый браузер в мире и не может тормозить!!! Так в рекламе говорилось!
Вы бы мозги подключали иногда, авось понимали бы такие простые вещи, как разницу между быстрым браузером и программой, которая быстро работает и не грузит систему.
Да и 99% проца это нечто нереальное. Даже мой старый Атлон редко когда достигает таких последствий даже при моей любви к 20 открытым за раз страничек.
Да и 99% проца это нечто нереальное. Даже мой старый Атлон редко когда достигает таких последствий даже при моей любви к 20 открытым за раз страничек.
Пожалуйста, указывайте первоисточник, ато «желтухой» веет =) На самом деле этот репорт правда был обнародован Secunia, но вот, что говорят сотрудники Опера Haavard: Secunia advisory 38820 (Content-Length Buffer Overflow in 10.50) turned out to be invalid. It is not exploitable.
Они так и не смогли воспроизвести уязвимость. Так что всеравно похоже на провокацию, хотя не берусь это утверждать, но Опере не доверять пока повода небыло.
Они так и не смогли воспроизвести уязвимость. Так что всеравно похоже на провокацию, хотя не берусь это утверждать, но Опере не доверять пока повода небыло.
странно, но вот эта штука валит оперу www.securitylab.ru/poc/extra/391363.php
полезной нагрузки (remote code execution) у меня не получилось, но выпадает опера стабильно
полезной нагрузки (remote code execution) у меня не получилось, но выпадает опера стабильно
P.S.: на форуме оперы модератор и один операфагупорный товарищ говорят, что несмотря на то что это buffer overflow, они не считают это багом пока не будет публичного PoC выполняющего код.
Хороший им ответ из того же форума:
Хороший им ответ из того же форума:
If there's a gaping hole in your roof, and someone tells you that your carpet is going to get wet come the rainy season, do you tell them that obviously they're wrong, because your carpet is currently dry and the skies are clear?
Логично =) Ну, надеюсь, они найдут и исправят дыру в ближайшее время, иначе реально потеряют часть пользователей, которых так стараются получить при помощи новой версии браузера.
когда в nginx недавно нашли buffer overflow, и вроде было это неспособно привести к RCE, тем не менее, патч вышел в кратчайшие сроки…
Валить и выполнить свой код — большие разницы.
10.50
Не падает там.
Не падает там.
Посмотрел я на эксплойт. Ну да, уронить оперу можно, а вот произвольный код выполнить, как бы, врятли получится. Просто, как бы не понимаю как туда произвольный код подсунуть и когда он исполнится, если происходит зависание браузера при попытке выделить место.
прошу прощения, надо было отойти, и в спешке забыл про первоисточник написать (secutirylab).
Интересно, включение Opera Turbo решает проблему?
Внимание, вопрос: как можно в 2010 году, написать переполнение буфера, если эта ошибка известна уже лет 30? Ответ: только если у тебя код или его части пишут индусы левой пяткой. Любой нормальный программист знает 100% способы защиты от этой древней уязвимости.
Жаль что и Опера придерживается современного «Rapid Development» подхода к разработке: сначала пишем как попало, лишь бы быстро, потом постепенно фиксим самые злостные баги :( Вроде неплохой был браузер, лучше конкурентов :(
Жаль что и Опера придерживается современного «Rapid Development» подхода к разработке: сначала пишем как попало, лишь бы быстро, потом постепенно фиксим самые злостные баги :( Вроде неплохой был браузер, лучше конкурентов :(
зачем же так на оперу взъелись-то? браузер был и остается нормальным. ну, есть ошибочка. скоро, значит, ее уже не будет. писать многострочный код без ошибок довольно затруднительное занятие.
зы: я не фанат оперы, ибо сам сижу на хроме, который поддерживает плагины, в отличие от первой.
зы: я не фанат оперы, ибо сам сижу на хроме, который поддерживает плагины, в отличие от первой.
В любой программе есть ошибка. (с)
По такой логике, уже 25 лет как вообще багов в программах быть не должно
Переполнения буфера нигде быть по идее не должно.
По какой именно идее?
По идее с отказом от передачи в функцию указателя на буфер, например, так как в такой ситуации функция не может знать, сколько в буфере места. Передавать вторым параметром размер буфера, кстати, глупо, так как программист с вероятностью 90% где-нибудь забудет ее проверить.
Следовательно, здравый смысл подсказывает нам идею перехода на объекты, которые надежно прячут буфер внутри и не позволяют его переполнить.
Следовательно, здравый смысл подсказывает нам идею перехода на объекты, которые надежно прячут буфер внутри и не позволяют его переполнить.
Гениально!
Хоть ты горшком все это назови, какая разница то? будет это метод объекта или функция.
Бывают случаи когда необходимо принять в функцию указатель на буфер и заполнить его.
Поясните, как вы эту проблему решите.
Хоть ты горшком все это назови, какая разница то? будет это метод объекта или функция.
Бывают случаи когда необходимо принять в функцию указатель на буфер и заполнить его.
Поясните, как вы эту проблему решите.
Всюду, где можно, передавать объект. Где никак-никак — передавать адрес буфера и длину (которые нам с радостью предоставит упомянутый объект), но число таких мест должно быть очень маленьким, а код функций — небольшой, чтобы легко можно было убедиться в отсутствии уязвимостей.
Собственно место такое там будет одно — чтение из сети в буфер.
Собственно место такое там будет одно — чтение из сети в буфер.
»Вроде неплохой был браузер,
ДРАМА, ДРАМА!
ОМГ. БЫЛ!!! Какие высокопарные слова. Умер уже, ага. В кои-то века нашли ошибку, так все, хана, быстро сваливает с Оперы, она стала хуже конкурентов.
ДРАМА, ДРАМА!
ОМГ. БЫЛ!!! Какие высокопарные слова. Умер уже, ага. В кои-то века нашли ошибку, так все, хана, быстро сваливает с Оперы, она стала хуже конкурентов.
Сколько лет играем в футбол, а мимо ворот промахиваемся. Наверное у нас индусы в команде?
Не правильно отвечаете, настоящий труЪ лучепоносный пост должен содержать приблизительно такие слова: решето, закопать, операкапец (если провести аналоию с продуктами Майкрософта) и т.д., ну вы поняли.
Незнаю выполняет ли левый код Опера из-за этой ошибки или просто падает, но пока не залатают запускаю под guest'ом.
А почему в такой сенсационной новости так мало ссылок на источники? Понятно, что давать ссылки на эксплойты не нужно, но все остальное-то — почему бы и нет? Народ-то уже браузер чуть-ли не со счетов списал, судя по комментариям.
Немного неправильное описание — это целочисленное переполнение.
В свете подобных новостей интересно, когда ждать релиза под GNU/Linux и не будет ли там подобных вещей, учитывая резкий переход от Qt на свою библиотеку?
Подробности с официального ресурса =)
Sign up to leave a comment.
Уязвимость в браузере Opera (переполнение буфера)