| 1.1, Zenitur (ok), 20:36, 23/05/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
 Вот это улов. В предыдущие разы (кстати, можно добавить "Похожие новости") одна или две уязвимости описаны, но 30 за раз - я такого не видел в иксах. В Java и в браузерах только помню.
Ну и щас конечно же какой-нибудь важный человек выскажется о том, что "в свете последних событий необходимо как можно быстрее закончить работу над Wayland и прекратить поддержку X.org". Может, они специально добавили уязвимости пару месяцев назад, чтобы потом героически их закрыть?
| | |
| |
| 2.3, Аноним (-), 20:40, 23/05/2013 [^] [^^] [^^^] [ответить]
| +16 +/– |
Обычно это происходит так. Всем на всё наплевать и это продолжается годы. Но вот тут на горизонте появляется чудесный человек, которому (пока) не всё равно. Этот человек с большим оптимизмом знанием дела подходит к проблеме и героически её решает. Далее его энтузиазм заканчивается и всё повторяется по кругу.
| | |
| |
| 3.13, Аноним (-), 21:50, 23/05/2013 [^] [^^] [^^^] [ответить]
| +/– |
Этим человеком был
> Ilja van Sprundel, a security researcher with IOActive | | |
| 3.17, Карбофос (ok), 22:21, 23/05/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
 мои тикеты они год обрабатывали. пару раз действительно критично, около десятка - чтение конфигов: небольшие утечки памяти, хрень с указателями. печально от того, что так долго. может дела быстрее пойдут, если готовые патчи людям давать. в этом проекте не пробовал ещё.
| | |
| |
| 4.19, Аноним (-), 22:30, 23/05/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
Раструби лучше об этой уязвимости на каком-нибудь форуме. Так привлечёшь внимание к проблеме, может и патч быстрее примут.
| | |
| |
| |
| 6.34, Аноним (-), 01:33, 24/05/2013 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Шурик, вы комсомолец? Это же не наш метод! (с) "Операция "Ы"
Если вы заинтересованы в том, чтобы дыру как можно дольше не закрывали - то да.
А если наоборот - вполне себе правильный метод.
// Чтобы в дальнейшем не писать подобных глупостей, познакомьтесь немного с матчастью и принципами работы безопасников, например, oogleonlinesecurity.blogspot.ru/2010/07/rebooting-responsible-disclosure-focus.html
| | |
| |
| 7.56, Карбофос (ok), 01:10, 25/05/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>не писать подобных глупостей, познакомьтесь немного с матчастью
не учите меня жить, лучше помогите материально. Ильф и Петров, "12 стульев".
| | |
|
|
|
| 4.25, Сергей (??), 23:22, 23/05/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> может дела быстрее пойдут, если готовые патчи людям давать
Однозначно.
| | |
| |
| 5.53, Аноним (-), 18:36, 24/05/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> может дела быстрее пойдут, если готовые патчи людям давать
> Однозначно.
Это сильно от людей зависит. Иногда совсем не однозначно - как было пофиг, так и будет.
| | |
|
|
|
|
| |
| 2.12, Аноним (-), 21:33, 23/05/2013 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> нет, неуязвимого кода не существует.
Верно, но время от времени стоит пересматривать свой код и менять его в лучшую сторону. Некоторые изменения невозможны без переделки фундамента кодовой базы, и пренебрежение этим фактом приводит к тому, что такой проект рано или поздно заменит тот в котором, решились переделать те или иные фундаментальные недостатки. Повышается опыт, меняется подход к реализации тех или иных задач.
| | |
| |
| 3.41, Аноним (-), 01:50, 24/05/2013 [^] [^^] [^^^] [ответить] | +/– | Вы рассуждаете вполне логично Но, тем не менее, большинство людей с вами не сог... большой текст свёрнут, показать | | |
|
| 2.29, Аноним (-), 00:07, 24/05/2013 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> нет, неуязвимого кода не существует.
Вызов принят.
int main(){
while(1); /* не делаю return 0, ибо программа может запускаться в качестве ядра, в коем случае возвращать ноль будет некуда */
}
Готово! Можете уязвлять.
| | |
| |
| 3.31, Аноним (-), 00:24, 24/05/2013 [^] [^^] [^^^] [ответить]
| +8 +/– | |
> Готово! Можете уязвлять.
Зачем его уязвлять? Он сам себя уязвил: жрет проц в полку не делая ничего полезного. Лайт-версия атаки на отказ в обслуживании.
| | |
|
| 2.38, Аноним (-), 01:40, 24/05/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> нет, неуязвимого кода не существует.
Существует. Но он, к сожалению, бесполезен.
Например, неузявимым по определению является код, который не работает.
Как grsecurity - попробуй ломани систему, у которой ядро перманентно паникует.
| | |
|
| 1.14, iZEN (ok), 21:54, 23/05/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –14 +/– |
 А всё почему? А всё потому, что за написание программ-ломщиков, выявляющих и использующих уязвимости в ПО, в законодательстве большинства стран предусмотрено уголовное наказание. Из-за этого создатели таких программ не спешат делится ценной информацией по обнаруженным уязвимостям с производителями ПО — за демонстрацию использования выявленной уязвимости можешь угодить за решётку.
| | |
| |
| 2.20, Аноним (-), 22:32, 23/05/2013 [^] [^^] [^^^] [ответить]
| +4 +/– |
> А всё почему? А всё потому, что за написание программ-ломщиков, выявляющих и
> использующих уязвимости в ПО, в законодательстве большинства стран предусмотрено уголовное
> наказание. Из-за этого создатели таких программ не спешат делится ценной информацией
> по обнаруженным уязвимостям с производителями ПО — за демонстрацию использования
> выявленной уязвимости можешь угодить за решётку.
Да уж, такой глупости я еще не слышал. Теперь ясно, почему некоторые пренебрегают отладочным режимом для своих программ. ПО может помочь в той или иной задаче, но думать за вас оно не будет. Уязвимости не запрещено находить, запрещено их использовать для причинения различного вреда.
| | |
| |
| 3.37, Аноним (-), 01:37, 24/05/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Да уж, такой глупости я еще не слышал. Теперь ясно, почему некоторые
> пренебрегают отладочным режимом для своих программ. ПО может помочь в той
> или иной задаче, но думать за вас оно не будет. Уязвимости
> не запрещено находить, запрещено их использовать для причинения различного вреда.
Запрещено-не запрещено, а некоторые эффективные менеджеры за один факт нахождения могут в суд подать. А закон, как известно, что дышло - кто больше судье заплатил, тому и вышло.
| | |
| |
| 4.42, arisu (ok), 02:28, 24/05/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > некоторые эффективные менеджеры за один факт нахождения могут в суд подать.
очень хочу знать, у кого из них есть телепатор, раз они могут подать в суд за «факт нахождения». я тоже пойду туда работать и попрошу, чтобы меня к телепатору приписали.
| | |
| |
| 5.50, Аноним (-), 18:32, 24/05/2013 [^] [^^] [^^^] [ответить]
| +/– |
Найти и никому не говорить - скучно. Даже в суд никто не подаст.
| | |
|
|
|
| 2.21, Карбофос (ok), 22:41, 23/05/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
ты ВООБЩЕ не в курсе дел. даже не в курсе положения дел в open source. грусть-печаль.
| | |
| |
| |
| Часть нити удалена модератором |
|
|
|
| 1.33, Аноним (-), 01:29, 24/05/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Так как клиент и сервер в большинстве случаев выполняются на одной машине под одним пользователем или сервер работает с более высокими привилегиями, выявленные уязвимости не представляют большой опасности.
ЛПП. Как минимум CVE-2013-2003 (переполнение буфера в libXcursor) - это тривиальный local root.
http://www.securityfocus.com/bid/60121/discuss
| | |
| 1.55, Int (?), 20:19, 24/05/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Это они после публикации BSOD от рескайлинга окна в винде, решили проверить ?
| | |
|
