Noha Wicherski egyetért abban, hogy ilyen hosszú javítás nélkül eltelt idő után szükséges volt rámutatni, hogy milyen egyszerű a hibát kihasználni, azonban problémásnak találja, hogy Fuller olyan demót készített, amelyből "pillanatok alatt" saját malware-t készíthet a hozzáértő. Ehhez Wicherski egy leírást is biztosít.
Fuller-nek az a véleménye, hogy nem fair "felelőtlennek" nevezni a közlést, mert a sebezhetőségről szóló információs publikus, az exploit készítéshez szükséges információk könnyedén hozzáférhetőek, az exploitot rendkívül egyszerűen meg lehet írni és különben is vannak már exploitok szabadon.
A részletek itt.
- A hozzászóláshoz be kell jelentkezni
- 3103 megtekintés
Hozzászólások
Valóban felelőtlen lépés volt, mert sokat árt a osx-es jvm gyártójának, hogy csak így nyilvánosságra hoz egy exploit-példát, ami már hónapok óta ismert :)
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
Security by obscurity.
Szerintem az a felelőtlenség, hogy egyesek úgy gondolják, hogy egyedül csak Landon Fuller tudja kihasználni a hibát, így nem szabadott volna senkinek sem elmondania, hogyan kell csinálni.
Nem hiszem, hogy azok az informatikusok, akik be akarnak törni egy rendszerbe, éppen most olvassák a hogyan programozzunk JAVA-ban első kötetének bevezetőjét.
- A hozzászóláshoz be kell jelentkezni
Óóóó hát persze, eddig még senki nem szagolta ki a hibát és senki nem próbálta kihasználni a rajta keresztül kínálkozó lehetőséget. Én el is hiszem csak ez a rossz gúnya itt rajtam hitetlenkedik. :-)
- A hozzászóláshoz be kell jelentkezni
Ezek szerint tényleg nem érdekelte őket.
http://hup.hu/cikkek/20080402/nem_erdekelte_az_ubuntu-s_gep_a_pwn_to_ow…
- A hozzászóláshoz be kell jelentkezni
:)
- A hozzászóláshoz be kell jelentkezni
csak nekem furcsa ebben amit mondasz, hogy a pwn to own marciusban volt CVE szamot pedig decemberben kapott a bug (azt persze nem tudom miota ismert a hiba valojaban)?
- Use the Source Luke ! -
- A hozzászóláshoz be kell jelentkezni
Itt arról beszélgetünk -ha jól értem-, hogy attól, hogy mikor kap CVE számot egy hiba, meg hogy mikor kerül publikálásra működő exploit még korábban is létezik a hiba, amit akár más is megtalálhat, mint aki ez előbbi kettőt jegyzi.
- A hozzászóláshoz be kell jelentkezni
igen, pontosan ez a kerdes, hogy mas is megtalalta-e es sokkal hamarabb-e.
szerk: ja, most esett le, hogy ironianak/poennak szantad a hozzaszolast :)
- Use the Source Luke ! -
- A hozzászóláshoz be kell jelentkezni
lehet csak feltekeny, hogy nem o publikalhatta :)
---
/* No comment */
Ketchup elementál megidézése a sajt síkra
- A hozzászóláshoz be kell jelentkezni
AAA, ezt is felreolvastam :(
"Felelőtlen közbeszerzéssel vádolják a proof-of-concept szerzőjét"
Hirtelen nem ertettem, mirol van szo, aztan ujra olvastam, lassan, tagoltan, betunkent...
- A hozzászóláshoz be kell jelentkezni
Felelőtlen kódolással vádolják a SUN Java VM szerzőit ;o)
KAMI | 神
--
Támogatás | OxygenOffice | Fordításaim és SeaMonkey
- A hozzászóláshoz be kell jelentkezni