?

Log in

No account? Create an account
   Journal    Friends    Archive    Profile    Memories
 

IE is dead? - morfizm


Jun. 23rd, 2012 01:59 am IE is dead?

У Microsoft в IE, оказывается, есть непочиненная 1-click vulnerability:
http://technet.microsoft.com/en-us/security/advisory/2719615

Можно установить, какой-то непонятный "Fix it"-solution, который почему-то предлагают потом снести - там есть кнопочка "disable", ссылающаяся на 1.1MB-инсталлятор отмены этого фикса (неужели такое страшное, что потом надо сносить?)
http://support.microsoft.com/kb/2719615

Можно выключить active scripting, но это означает смерть IE, т.к. YouTube не работает, и все сайты какие-то уродливые.

:-/

Tags: ,

Current Mood: thoughtfulthoughtful

22 comments - Leave a commentPrevious Entry Share Next Entry

Comments:

From:archaicos
Date:June 23rd, 2012 09:46 am (UTC)
(Link)
The ie-ing is dead. Long live the ie-ing! :)

А сносить наверное только если что-то сломается от него.

Я ничему не удивляюсь. Размер и сложность кода опупительные. Тестами покрыть не получается.
From:dshel
Date:June 23rd, 2012 10:28 am (UTC)
(Link)
Ну Google как-то же справляется с выпуском Chrome?
From:archaicos
Date:June 23rd, 2012 10:33 am (UTC)
(Link)
Вероятно у них код посвежее и почище. С другой стороны, а что там с глюками? Я Chrome не пользуюсь, не знаю как часто там что-то ломается.
From:dshel
Date:June 23rd, 2012 10:37 am (UTC)
(Link)
Да там глюков не знаю во сколько раз (много) меньше.

Google периодически контесты проводит для народных хакеров с целью поиска уязвимостей в Chrome. Фундаментальных пока найдено не было, а что найдено - быстро исправляется.
From:archaicos
Date:June 23rd, 2012 10:41 am (UTC)
(Link)
У msft длинный release cycle. И они обожают won't fix. Только проблемы безопасности исправляются быстро. Традиция, однако.
From:dshel
Date:June 23rd, 2012 10:47 am (UTC)
(Link)
Мне одному кажется что это начало заката msft?

Захотят выжить - будут меняться.
From:archaicos
Date:June 23rd, 2012 10:59 am (UTC)
(Link)
В принципе, они могут ампутировать убыточные направления и ещё долго жить за счёт доходов от Windows и Office. Время покажет.
From:dennyrolling
Date:June 23rd, 2012 05:19 pm (UTC)
(Link)
все же для торжества правды спешу заметить что совсем недавно, используя четыре бага одновременно, русский суперхакер заломал таки хром до исполнения произвольного кода. получил свои десятки тысяч долларов и гуглеры зачинили бажецы за сутки.
link
From:_m_e_
Date:June 25th, 2012 12:03 am (UTC)
(Link)
для торжества правды следует заметить, что уязвимостей там больше -
http://morfizm.livejournal.com/701696.html?thread=7279872#t7279872
From:_m_e_
Date:June 25th, 2012 12:02 am (UTC)
(Link)
суровая статистика однако свидетельствует о прямо противоположном:

IE (All versions)
Advisories YoY 9 (11) −18%
Vulnerabilities YoY 38 (54) −30%
IE 9
Advisories YoY 6 (0) N/A
Vulnerabilities YoY 32 (0) N/A
Chrome (All versions)
Advisories YoY 28 (20) +40%
Vulnerabilities YoY 321 (147) +118%
Chrome 12
Advisories YoY 3 (0) N/A
Vulnerabilities YoY 38 (0) N/A


(12-ый Хром выбран по причине появления на свет примерно одновременно с IE9, что дает сравнимую историю).
From:dennyrolling
Date:June 25th, 2012 07:23 am (UTC)
(Link)
а я не врубаюсь наверное в этот factsheet. как-то подробностей мало, что такое по их понятиям advisory, а что vulnerability? ну и непонятно, покрывают ли он дев-трэк или только те версии которые люди пользуют.
From:_m_e_
Date:June 25th, 2012 04:58 pm (UTC)
(Link)
насколько я знаю, беты и dev-track никто не считает - только RTM
From:dennyrolling
Date:June 25th, 2012 07:06 pm (UTC)
(Link)
тогда меня это еще больше запутывает - что же если так дыр много то кулхацкеры три года подряд на pwn2own не ломали хром? просто руки не доходили, никому лаптопы не нужны? ну и на cansecwest тоже только один перец поломал, никому ХХК баксов не надо?
при том что сафари (у которого популярность меньше) ломали налево и направо.
From:_m_e_
Date:June 25th, 2012 05:07 pm (UTC)
(Link)
advisory - это очевидно опубликованное сообщение о багах. Их число не так интересно, посколько одно advisory может включать много багов. Что такое vulnerability кажется понятно.

Не то, чтобы это цифры отражали число багов - думаю, большое число открытых vulnerability в Хроме скорее связано с ростом популярности - эти vulnerability наконец начали искать. Но все же очевидно о победе над багами отчитываться рановато, несмотря на гораздо более свежий код и игнорирование разработчиками проблем совместимости.
From:dennyrolling
Date:June 23rd, 2012 05:31 pm (UTC)
(Link)
я пользую постоянно только хром. вебовских глюков уже давно не замечено ну просто нигде. так как ИЕ уже не самый популярный браузер (и нестандартный ИЕ уже очень давно не самый популярный) то вебдевелоперы пишут больше под стандарты и все прекрасно выглядит во всех современных браузерах. ну в ИЕ чуть похуже.
From:_m_e_
Date:June 23rd, 2012 06:36 pm (UTC)
(Link)
Замечено, что печать глючит неимоверно. Андрей Б. рассказал, что знают и править не будут.

Одновременно с проталкиванием всюду cloud print - выглядит очень странно.
From:dennyrolling
Date:June 23rd, 2012 06:59 pm (UTC)
(Link)
видимо мне везет, не замечал особо проблем с печатью. ну и печатать последнее время очень редко приходится.

Edited at 2012-06-23 07:03 pm (UTC)
From:_m_e_
Date:June 23rd, 2012 10:02 pm (UTC)
(Link)
видимо совсем не печатаешь :)

Вот Моша печатает только из Линукса, и когда услышал мою жалобу про печать в Хроме, тут же выдал:
- "А я думал, это у Линукса проблемы с драйверами"
From:dennyrolling
Date:June 24th, 2012 07:42 pm (UTC)
(Link)
ну я печатаю может раз в месяц, да. всякие там билетики или резюме кандидатов когда интервью, ничего сложного.
From:dennyrolling
Date:June 23rd, 2012 05:28 pm (UTC)
(Link)
очевидно что уже давно dead, вот пытаются зомбифицировать и возродить.

особенно рекомендую вот это видео
From:dshel
Date:June 24th, 2012 08:51 am (UTC)
(Link)
+1
From:_m_e_
Date:June 23rd, 2012 06:39 pm (UTC)
(Link)
наверное, временный фикс-ит надо будет снести когда в очередной вторник появится исправление?