- A hozzászóláshoz be kell jelentkezni
Hozzászólások
emlegetett szamar. Talan 2 ev mulva ujra lesz hasznalhato sechole nelkuli x64-es es armos verzio. Vagy az armost karbantartjak?
------------
A Windows 95 hibajabol tanulva inkabb Windows XP-nek nevezték el, hogy ne legyen ciki, hogy a legtöbb dologra 2008-ban még mindig a "Windows 2001" a leghasználhatóbb
- A hozzászóláshoz be kell jelentkezni
Igen, tényleg lehetne erre a hírre gyártani egy template-et, amiben csak a mezőket (programnév, verziószám, stb.) kellene kitölteni.
Hogy mókásabb legyen, mindezt lehetne flasben implementálni. :D
A tréfát félretéve, mi lehet ennek az egésznek az oka? Most nem arra gondolok, hogy hány nap alatt javítják ki az újabb 0 day hibát, hanem hogy miért kerül elő ilyen számolatlan mennyiségű hiba épp ezekben a programokban?
Van ennek valami mélyebb oka esetleg?
- A hozzászóláshoz be kell jelentkezni
"hanem hogy miért kerül elő ilyen számolatlan mennyiségű hiba épp ezekben a programokban?"
Egyszer volt egy felmérés arról, hogy a desktop gépek hány százalékán van telepítve Adobe Flash Player. Az eredmény megdöbbentő volt. 97-98 százalékra emlékszem. Tudsz mondani még olyan szoftvert, ami közvetlen kapcsolatban van az internettel és ilyen százalékban van jelen a desktop számítógépeken? Mivel ilyen elterjedt, nyilvánvaló, hogy jó támadási felület. Biztos vagyok benne, hogy hogy a malware írók erősen rá vannak szívódva és darabokra szedik annak érdekében, hogy hibát találjanak benne. Egyik oka lehet ez annak, hogy ennyire gyakori a Flash-ben levő hibák kihasználása. A másik ok lehet egyszerűen az, hogy rossz munkát végeznek az Adobe-nál.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
eppen ezert en nem is azon a ponton kerdojelezem meg oket, hogy sok exploit van, ha midnenki pl. Arorat hasznalna az egesz vilagon, lehet az is tele lenne exploittal, nekem a rossz munkat vegeznek inkabb abban nyilvanul meg, hogy kepzelem milyen gany kod lehet az, ami x86 kivetelevel semmire nem fordul le rendesen (de még amd64-re is nehezkesebben mint armra) Innentol joggal feltetelezem azt, hogy a kod rossz minosege okozza a sok exploitot is, ahogy az nVidia driver is stabilabb az Ati Catalystnal, es veletlen mindemellett platformfuggetlen is
Meg az Adobe Readerre ez nem igaz, hogy 97-98% Internetkozeli blabla, megis vannak annak is exploitjai, es szerintem a Microsoft Wordot is hasznaljak majdnem ennyien, megse olyan lyukas, mint az ementali sajt, tehat nekem ebbol egyenesen kovetkezik, hogy az MS Office jobb minosegu kod, mint az Adobe Reader
------------
A Windows 95 hibajabol tanulva inkabb Windows XP-nek nevezték el, hogy ne legyen ciki, hogy a legtöbb dologra 2008-ban még mindig a "Windows 2001" a leghasználhatóbb
- A hozzászóláshoz be kell jelentkezni
Ez az eszmefuttatás zavaros nekem egy kicsit így elsőre. Most elmegyek ebédelni, aztán majd nekifutok délután újra.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Nyugodt lehetsz, hogy az MS Office ugyanilyen lyukas ementáli sajt volt. Jól bizonyítja ezt Ben Nagy quad-core Xeon szerverekből épített klaszteren futó elosztott fuzzere, amelyik egy rakás hibát talált a Word-ben anno pár másodperc alatt. A különbség csak az, hogy a Microsoft megértette végre annak fontosságát, hogy a biztonsági hibákat a lehető legszélesebb körben, a legváltozatosabb módokon kell keresni és az itsec iparban megjelenő új ötleteket mihamarabb magukévá kell tenni, így sikeresen átültették a fuzzing klaszter ötletet a saját fuzzing botnet-jükbe és a belső hálózatukban lévő kihasználatlan gépkapacitásukat arra fordítják, hogy eddig felfedezetlen hibákat keressenek a termékeikben. Ennek köszönhetően, nameg az Office 2010-ben megjelent új biztonsági funkcióknak (pl. a Gatekeeper dll a file integritás vizsgálathoz, vagy a Protected View sandbox) köszönhetően biztonságosabb jelenleg a termékük az összes konkurens terméknél.
- A hozzászóláshoz be kell jelentkezni
Ez tényleg jó ötlet, fel is vetődött bennem rögtön, hogy vajon egy szabad szoftveres programot (Firefox, OpenOffice, stb) lehetne-e ezzel a módszerrel önkéntesek bevonásával nagyon széles körben teszteltetni? Vagy ez több biztonsági problémát vetne fel, mit amennyit megoldana?
Mert addig kivitelezhetőnek látom a dolgot, amíg csak egy cég belső rendszerében történik a tesztelés, de ha már kikerül számos egyedi felhasználó ellenőrizhetetlen gépére... nem is tudom...
- A hozzászóláshoz be kell jelentkezni
Biztos lenne olyan, aki megtartaná a talált hibákat, de ha több résztvevővel is redundánsan lefuttatnák ugyanazokat a teszteket, akkor kisebb valószínűséggel maradhatna titokban. A probléma csak az, hogy még így is kétélű fegyver, ahogy a kerneloops[.org] is az. Van ugyanis egy szép nagy "race window" a bug megtalálása és a végfelhasználóknál történő javítás között, amely épp elégséges lehet egy támadónak a hiba kihasználásához...
- A hozzászóláshoz be kell jelentkezni
Akkor csak egy kerdesem maradt: ezt miert nem tudtak pont az Internet Explorernel megoldani? Mert azon most eppen nem lyukak vannak, hanem kesz egeratjarohaz :D (IE9 persze jobb lesz, de...)
------------
A Windows 95 hibajabol tanulva inkabb Windows XP-nek nevezték el, hogy ne legyen ciki, hogy a legtöbb dologra 2008-ban még mindig a "Windows 2001" a leghasználhatóbb
- A hozzászóláshoz be kell jelentkezni
Mások az arányok. Nyilván Office 2010-ben még így is maradt egy rakás bug (ahogy IE-ben), csak a kihasználásuk lett nehéz. Míg Word/Excel esetén megnyitáskor erős kalimpálás látható makróknál és más beágyazott kódoknál, amelyek előkészíthetnék a terepet az exploitáláshoz, addig Internet Explorer-nél (és általában a böngészőknél alapértelmezetten) kérdés nélkül futhat Javascript kód. Annak segítségével pedig már rutin a heap-spraying és így az ASLR kijátszása.
Egyébként Windows 7-en, 64 bites Internet Explorer 8 + kikapcsolhatatlan DEP beállítás mellett (
bcdedit /set NX AlwaysOn
) meglehetősen nehéz már egy puffer túlcsordulásos hibát komolyabb dologra kihasználni...
- A hozzászóláshoz be kell jelentkezni
"kepzelem milyen gany kod lehet az, ami x86 kivetelevel semmire nem fordul le rendesen"
Mit mond neked az a szo, hogy jit-compiler?
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
- A hozzászóláshoz be kell jelentkezni
+Linuxos x64-es változat. Az elmúlt x év sechole-jai nélkül.
Ugyanígy várjuk a Skype-ot is, akár 32-bites változatban. :)
- A hozzászóláshoz be kell jelentkezni
Csak nekem tűnik úgy, hogy mostanában sok a Flash sechole? Vagy mindig is volt sok, de mostanában lett divat kihasználni ezeket? És miért tart 2 hétig egy javítás? Úgy gondolnám, hogy van százezer unit teszt meg szerverpark, ami futtatja, és 1-2 nap alatt release-elhető lenne.
- A hozzászóláshoz be kell jelentkezni
Nalam eleg nagy problema hogy megszuntettek a 64bites verzio fejleszteset igy maradok a betanal amit kiadtak, es nem latogatok ketes oldalak flashel.
- A hozzászóláshoz be kell jelentkezni
Egy válaszba ágyazott flash tartalom? A hup-ban gondolom megbízol, de a látogatókban?
- A hozzászóláshoz be kell jelentkezni
a flashblock jo dolog :)
- A hozzászóláshoz be kell jelentkezni
Talán újra kéne írniuk az egészet, mert a jelek szerint csak tákolgatják újra és újra.
- A hozzászóláshoz be kell jelentkezni
vagy haladni kene a html5-tel, nem csak a bongeszoknek, de a webfejlesztoknek is. Respect the exception, mert egyre tobb van
------------
A Windows 95 hibajabol tanulva inkabb Windows XP-nek nevezték el, hogy ne legyen ciki, hogy a legtöbb dologra 2008-ban még mindig a "Windows 2001" a leghasználhatóbb
- A hozzászóláshoz be kell jelentkezni
Már két nyílt forrású fejlesztés próbálkozik ezzel: Gnash és Lightspark.
- A hozzászóláshoz be kell jelentkezni
három. ott van az swfdec is.
persze hárman nem tudnak egyet kitenni, de ezt megszoktuk már :) a lightspark viszont egész írgéretes, használják az LLVMet jól, tehát ha elkészül még a végén emberi sebességgel is fog működni.
- A hozzászóláshoz be kell jelentkezni
A lightspark-kal nekem eddig csak fekete ablakot sikerült létrehoznom. Gondolom valamit rosszul csinálok, hiszen a fejlesztők valamivel csak kipróbálják ha ki merik adni.
- A hozzászóláshoz be kell jelentkezni
Munkás Istvánnak van igaza a flash bojkottal.
- A hozzászóláshoz be kell jelentkezni
Igaza lenne, ha ok egy icipicit is jobbak lennenek security teren. Csakhat nem azok.
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
- A hozzászóláshoz be kell jelentkezni
Es kompatibilitasban sem jobbak az Adobe-nal (mindket ceg legfobb hatranya, hogy minel kevesebb dologgal, de leginkabb csak onmagaval kompatibilisek a termekei)
------------
A Windows 95 hibajabol tanulva inkabb Windows XP-nek nevezték el, hogy ne legyen ciki, hogy a legtöbb dologra 2008-ban még mindig a "Windows 2001" a leghasználhatóbb
- A hozzászóláshoz be kell jelentkezni
Munkás István... :)) Reggeli fejtörőként megfejtettem, ki az.
- A hozzászóláshoz be kell jelentkezni
Stephen Working? Vagy kicsoda? Nem mond semmit a nev :(
- A hozzászóláshoz be kell jelentkezni
Job mint munka és Steve... csak a többesszám kell még rá :)
- A hozzászóláshoz be kell jelentkezni
AAAAA, koszi :)
- A hozzászóláshoz be kell jelentkezni