The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Анализ использования фрагментов уязвимых библиотек в исполня..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Анализ использования фрагментов уязвимых библиотек в исполня..."  +/
Сообщение от opennews (ok), 27-Дек-18, 12:13 
Исследователи безопасности из компании Google опубликовали (https://googleprojectzero.blogspot.com/2018/12/searching-sta...) наработки в области определения использования в исполняемых файлах кода сторонних библиотек, который статически скомпилирован и встроен в приложение. Процедура выявления заимствованного кода имеет большое значение при анализе безопасности приложения, так как зачастую разработчики встраивают в состав своих продуктов внешние библиотеки, но не поддерживают их в актуальном виде. Код написан на языке С++ и опубликован (https://github.com/googleprojectzero/functionsimsearch) под лицензией Apache 2.0.


Со временем поставка неактуального внешнего кода может привести  к накоплению скрытых уязвимостей, уже исправленных в основных ветках разработки библиотек, но не перенесённых в интегрированные в сторонние проекты ответвления.  Если в открытых проектах аудит применения стороннего кода решается достаточно просто, то в проприетарных продуктах, поставляемых только в виде исполняемых файлов, задача сводится к определению связывания на уровне анализа машинного кода.


Предложенный метод основан на применении системы машинного обучения и  алгоритма SimHash (https://en.wikipedia.org/wiki/SimHash) для определения уровня приблизительного сходства между фрагментами машинного кода исследуемых приложений с машинным кодом реализаций функций из различных открытых библиотек. В качестве примеров практического применения метода продемонстрирован поиск кода unrar в библиотеке mpengine.dll, поиск функций libtiff в Adobe Reader и определение наличия форков libtiff и libjpeg в базовой поставке Windows 10 (следы уязвимых версий данных библиотек найдены в WindowsCodecs.dll).

URL: https://googleprojectzero.blogspot.com/2018/12/searching-sta...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49862

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Анализ использования фрагментов уязвимых библиотек в исполня..."  +19 +/
Сообщение от Crazy Alex (ok), 27-Дек-18, 12:13 
Интересно было бы это использовать для поиска нарушений GPL
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Анализ использования фрагментов уязвимых библиотек в исполня..."  +/
Сообщение от Аноним (27), 28-Дек-18, 11:59 
Может быть уже хватит двигать копирастию в массы?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

28. "Анализ использования фрагментов уязвимых библиотек в исполня..."  +/
Сообщение от Andrey Mitrofanov (?), 28-Дек-18, 12:43 
> Может быть уже хватит двигать копирастию в массы?

Конечно!  Отмени побыренькому ЗоАП.

И все на PD пойдём,взявшись за куки и распевая невозбранно песенки михалковых и пр. рыбиных.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

29. "Анализ использования фрагментов уязвимых библиотек в исполня..."  +/
Сообщение от Felix (??), 28-Дек-18, 13:01 
Денис попов, авторизуйтесь пожалуйста и расскажите о новом релизе BolgenOS )
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

31. "Анализ использования фрагментов уязвимых библиотек в исполня..."  +/
Сообщение от Аноним (31), 28-Дек-18, 14:26 
да ты туповат
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

32. "Анализ использования фрагментов уязвимых библиотек в исполня..."  +/
Сообщение от Aquarius (ok), 28-Дек-18, 17:44 
Вы путаете копирастию с копилефтией
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

2. "Анализ использования фрагментов уязвимых библиотек в исполня..."  +/
Сообщение от тоже Анонимemail (ok), 27-Дек-18, 12:24 
На практике обычно проблемы нет.
Ну, скомпоновала игрулька в себя древний и уязвимый libjpeg. Так она через него пропускает только собственные файлы, эксплуатировать уязвимость некому...
И то, что она лезет на собственный сервер за обновлениями через уязвимые сетевые библиотеки, тоже, внезапно, вообще не проблема.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Анализ использования фрагментов уязвимых библиотек в исполня..."  +5 +/
Сообщение от Аноним (3), 27-Дек-18, 12:32 
Не соглашусь, различные вариации libxml и libjpeg очень часто используются для обработки внешних данных. Открыл пользователь левый файл и получил трояна в системе.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Анализ использования фрагментов уязвимых библиотек в исполня..."  –2 +/
Сообщение от Аноним (4), 27-Дек-18, 13:06 
Этим уже занимается системный libxml/libjpeg, который, внезапно, нужно обновлять, конечно если она не стоит в Program Files (тут вендоюзеры и прочие любители пользоваться помойками a.k.a. snap, flatpak, appimage, /opt, и.т.д. должны страдать, да. И, конечно же, 's/каждый/никто не/g' говорил, что такое может произойти).

P.S: Хотя уже были случаи, когда в assets игры внедряли трояны и выкладывали на всякие торрент-помойки.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Анализ использования фрагментов уязвимых библиотек в исполня..."  +6 +/
Сообщение от Аноним (6), 27-Дек-18, 14:07 
Речь о том, что чтобы не париться с зависимостями проприеиарщики часто статически линкуют бинарники со старыми версиями библиотек.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

15. "Анализ использования фрагментов уязвимых библиотек в исполня..."  –1 +/
Сообщение от Аноним (15), 27-Дек-18, 18:54 
Статически как раз нечасто линкуют. Если откроешь директорию любой линуксовой игрушки из стима, там будет куча динамических библиотек.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Анализ использования фрагментов уязвимых библиотек в исполня..."  +/
Сообщение от НяшМяш (ok), 27-Дек-18, 14:11 
Как пример - в играх на движке source есть окно при входе на сервер, где можно показать свою html страницу. Или тот же source, где можно загрузить свою аватарку или спрайт.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Анализ использования фрагментов уязвимых библиотек в исполня..."  +/
Сообщение от Crazy Alex (ok), 27-Дек-18, 14:10 
На практике софта много и разного, и проще всех запинать, чтобы обновились на актуальную версию.  Благо, для подобных библиотек это не проблема - там обычно вполне нормальные багфикс-релизы.

Именно так гугл чем-то подобным анализирует всё, что сабмитится в Google Play. И не пропускает, если не обновишь на правленные версии.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Анализ использования фрагментов уязвимых библиотек в исполня..."  +/
Сообщение от тоже Анонимemail (ok), 27-Дек-18, 14:23 
> проще всех запинать, чтобы обновились на актуальную версию

Открытый софт и без пинков стараются обновлять.
А вот с проприетарным придется пинать, чтобы КУПИЛИ новую версию.
Ради теоретических дырок. Не хило пинков в ответ прилетит.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Анализ использования фрагментов уязвимых библиотек в исполня..."  +2 +/
Сообщение от Crazy Alex (ok), 27-Дек-18, 15:25 
Не, с андроидом всё просто - залить в маркет приложение, в котором найдены уязвимые библиотеки, он просто не даст. Что там, если найдено уже в залитом - не интересовался, андроид - не моя тема. Но тоже давили как-то на разработчиков. Если приложение платное это свершенно не значит, что абсолютно за все версии надо заново платить (хотя, опять же, деталей не знаю - не пользовался).

Кстати, напомню, что в маркете есть вагон бесплатного закрытого софта - часть с рекламой, часть нужня для работы с чем-то ещё (допустим, управление каким-нибудь "умным" устройством или подключение к энетерпрайзным системам - да хоть банковские клиенты те же), часть просто бесплатная, но закрытая - тоже бывает.

Насчёт "открытый софт и без пинков стараются обновлять"... ну это вы чересчур оптимистичны, по-всякому там.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "Анализ использования фрагментов уязвимых библиотек в исполня..."  –3 +/
Сообщение от Аноним (13), 27-Дек-18, 16:40 
>А вот с проприетарным придется пинать, чтобы КУПИЛИ новую версию.

Обнвления безопасности платные только у редхата и т.п.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

19. "Анализ использования фрагментов уязвимых библиотек в исполня..."  +/
Сообщение от Аноним (19), 27-Дек-18, 21:30 
Ага, пока для неё не сделают мод а сервер не подменят через DNS.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

21. "Анализ использования фрагментов уязвимых библиотек в исполня..."  +1 +/
Сообщение от mickvav (?), 27-Дек-18, 22:29 
Ну смотрите - онлайн-игра, подгружает, например, аватарки из фоток пользователей и отдает их на клиента как есть.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

10. "Анализ использования фрагментов уязвимых библиотек в исполня..."  +/
Сообщение от Аноним (10), 27-Дек-18, 15:08 
очень полезный инструмент для хакеров.....
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Анализ использования фрагментов уязвимых библиотек в исполня..."  –2 +/
Сообщение от Аноним (14), 27-Дек-18, 17:06 
....мамкиных?
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

20. "Анализ использования фрагментов уязвимых библиотек в исполня..."  –1 +/
Сообщение от annual slayer (?), 27-Дек-18, 21:31 
это что-то типа "статического" антивируса с эвристиками? или я слишком не разбираюсь в теме для понимания этой штуки
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Анализ использования фрагментов уязвимых библиотек в исполня..."  –1 +/
Сообщение от dimqua (ok), 27-Дек-18, 22:31 
Зачем делать проприетарное ПО безопаснее?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Анализ использования фрагментов уязвимых библиотек в исполня..."  +/
Сообщение от Crazy Alex (ok), 27-Дек-18, 23:39 
Гугл это для плей маркета склепал, там понятно, зачем ему
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "Анализ использования фрагментов уязвимых библиотек в исполня..."  +/
Сообщение от анан (?), 28-Дек-18, 06:51 
ничего не изменится, кому нужно будет попасть в магазин с старой версией будут шифровать эти библиотеки(или упаковывать) и евристики не будут определять их
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Анализ использования фрагментов уязвимых библиотек в исполня..."  +/
Сообщение от Crazy Alex (ok), 28-Дек-18, 13:50 
Не стоит искать злой умысле в том, что вполне объяснимо глупостью. Обычно старые версии остаются тупо потому что поленились/забыли обновить (уязвимости закрываются в минорах, в которых API не ломается). А обновить либу на порядок проще, чем прикручивать обфускацию, даже если изменения в API есть.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру