forum.opennet.ru

"На соревновании Pwn2Own 2024 продемонстрированы взломы Ubuntu, Firefox, Chrome, Docker и VirtualBox"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для сортировки сообщений в нити по дате нажмите "Сортировка по времени, UBB".

. "На соревновании Pwn2Own 2024 продемонстрированы взломы Ubunt..."	+/–
Сообщение от Аноним (64), 23-Мрт-24, 14:57
> Около 80 % CVE в конечном итоге возникают из-за неправильного управления памятью. > Использование языков, которые не допускают ручного управления памятью (Project Verona, > V, Zig), гарантирует, что вам никогда не придётся иметь дело с > этими CVE. - CVE-2019-16881 (use-after-free, remote code execution) - CVE-2018-1000657 (buffer-overflow, arbitrary code execution) - CVE-2019-25054 (segmentation-fault, uninitialized (да-да, неинициализированные, ты не галлюцинируешь, resources) Таких CVE много, эти три от балды взяты для демонстрации как все возникли из за неправильного управления памятью. В расте. Жду "ваши уязвимости не уязвимости", вроде так всегда было. Начинай.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

На соревновании Pwn2Own 2024 продемонстрированы взломы Ubuntu, Firefox, Chrome, Docker и VirtualBox, opennews, 22-Мрт-24, 23:46 [смотреть все]

Только не списывай точь-в-точь, Аноним, 22-Мрт-24, 23:46 (1) //
- Зачем Движок общий - Хромиум Теперь, небось, ещё сотни приложений на Электроне,, Аноним, 22-Мрт-24, 23:47 (3) //
  - Уязвим только если в них открыть специально сформированный сайт Или самому собр, Аноним, 23-Мрт-24, 11:26 (42) //
    - Ну почему же, можно сначала найти XSS в js-части приложения на Electron, а потом, вымя, 23-Мрт-24, 12:39 (48)
    - Открыл любезно размещённую в чатах ссылку в дискорде и привет А сколько ещё т, Аноним, 23-Мрт-24, 12:55 (49)
  - Теперь понятно откуда столько угнанных аккаунтов steam гуляет по сети Причём ча, Аноним, 23-Мрт-24, 13:06 (50)
И выходит, что современный компьютер больше для какой-нибудь ерунды, а не для ва, Аноним, 22-Мрт-24, 23:46 (2) //
- Чем больше г-на ты запускаешь - тем больше там багов, часть из которых окажется , Аноним, 23-Мрт-24, 02:45 (16) //
  - Не Задумчиво поглядываю на рекламу приложений банка и цифровые подписи на Услуг, Аноним, 23-Мрт-24, 04:12 (24) //
    - Это не те ли цифровые подписи, которые настолько суперсикурные и однозначно иден, Аноним, 23-Мрт-24, 13:14 (52)
- Ерунда - это и есть важные в быту сервисы, а гиков - меньшинство , Оно ним, 23-Мрт-24, 10:25 (37)
- То ли дело раньше Вообще не было виртуальной памяти и все приложения выполнялис, Шарп, 23-Мрт-24, 13:09 (51) //
  - Так раньше на компах разве что всякие досовские игрушки исполнялись , Neon, 23-Мрт-24, 17:53 (80)
- Умный человек всему найдёт применение Ах да , Пряник, 25-Мрт-24, 09:59 (127)
И это даже без наличия исходников ОС у исследователей А с исходниками там такое, Аноним, 22-Мрт-24, 23:48 (4) //
- Потому это и проприетарщина, чтобы шаловливые ручки не лазели, Слава Линуксу, 23-Мрт-24, 02:49 (17) //
  - Так они и так лезут, кому нужно, Конь, 23-Мрт-24, 19:52 (87)
- При наличии связей добавили эксплоиты и обналичили эксплоиты , Аноним, 23-Мрт-24, 11:27 (43)
Подключаешься к разработке опенсорс-проекта, вносишь уязвимость, приезжаешь на C, Аноним, 22-Мрт-24, 23:53 (5) //
- Логично Каким бы ты не был качественным программистом, попробуй в сжатое время , Chromium, 23-Мрт-24, 00:06 (7) //
  - узнаю эту логику вижу её буквально каждый день в h1 у mail ru, vkontakte, etc , Аноним, 23-Мрт-24, 00:19 (8) //
    - Вы пользуетесь сервисами, которые на оупеннет принято ругать Вы об этом , Аноним, 23-Мрт-24, 08:39 (32)
      - Не пользуются, а используют , Аноним, 23-Мрт-24, 09:30 (35)
        
        Просто нужно больше зарабатывать ц , pic, 23-Мрт-24, 19:24 (86)
- В нормальном проекте подряд все пуш-реквесты не принимают , Пряник, 25-Мрт-24, 10:00 (128)
SELinux мог бы спасти Firefox и Ubuntu , Аноним, 22-Мрт-24, 23:56 (6) //
- Наверное, по умолчанию он в режиме permissive, похнапоха, 23-Мрт-24, 00:23 (9) //
  - Попробовали бы взломать Fedora, там SELinux в режиме enforcing Или Sculpt OS , Аноним, 23-Мрт-24, 11:29 (44) //
    - Так самом можешь Для этого достаточно умений скрипт-киди Берёшь старые сплойты , iPony129412, 24-Мрт-24, 08:18 (102)
      - Попробовал Не взламывается , Аноним, 24-Мрт-24, 09:53 (105)
- В диванной теории 8211 да На практике - это не волшебная палочка и так просто, soarin, 23-Мрт-24, 14:37 (61) //
  - Вот волшебная команда для запуска Firefox в песочнице SELinux в Fedora sandbox -, Аноним, 23-Мрт-24, 14:58 (65) //
    - Тайну не открыл И будет глючить, то и сё Это не волшебная команда, soarin, 23-Мрт-24, 15:35 (71)
      - Тогда просто пользуйтесь контекстом mozilla_exec_t, заботливо созданным для вас , Аноним, 23-Мрт-24, 19:59 (89)
        
        Ответ типа первая строчка из Гугла редко когда получается умным Это непростой , soarin, 24-Мрт-24, 04:56 (100)
        
        А вы всё ищете волшебное решение В ИТ так не бывает Его нет, но зато есть рабо, Аноним, 24-Мрт-24, 09:56 (106)
        
        Я нет, это вон фанатики представляют SELinux как такое решение Хотя по факту дес, soarin, 24-Мрт-24, 11:24 (113)
        
        Вы что-то сами придумали и опровергаете Исходно было написано, что SELinux мог , Аноним, 24-Мрт-24, 19:49 (116)
        
        Так я и написал Что это сильно диванная теория На практике не спасает Но конечн, iPony129412, 25-Мрт-24, 03:53 (122)
        
        А практики вы никакой не показали Только комментарии пишете, а ведь могли бы вз, Аноним, 25-Мрт-24, 08:35 (123)
        
        А мне то зачем Я вижу что вообщем не защищает, и десктоп покрыт SElinux-ом весь, iPony129412, 25-Мрт-24, 08:54 (124)
        А вот отношение разработчиков Гугла Chromium к SELinux на линуксовом десктопеhtt, iPony129412, 25-Мрт-24, 09:00 (125)
        Вот как будешь думать о практике как это реально работает , а не чисто чтобы су, iPony129412, 25-Мрт-24, 09:10 (126)
        Да вы не волнуйтесь так Если уж написали бред, просто не продолжайте А я как п, Аноним, 25-Мрт-24, 14:41 (133)
В целом - взаимовыгодный обмен денег на знания , Аноним, 23-Мрт-24, 00:53 (10) //
- Скорее способ хакерам обменять дырки на деньги легально и сразу, пусть и потенци, Kuromi, 23-Мрт-24, 21:13 (92)
увенчались Полнейшим Просто вмварь рассчиталась в гардеробе, чтоб поменьше све, Аноним, 23-Мрт-24, 01:21 (11)
Fedora Silverblue пытались , pic, 23-Мрт-24, 01:31 (12) //
- Нет А деньги почему не занесли Забесплатно никто не побежит проверять , iPony129412, 24-Мрт-24, 07:58 (101)
самые свежие стабильные выпуски приложений, браузеров и операционных систем От, Аноним, 23-Мрт-24, 01:40 (13) //
- Дебианщик , Аноним, 23-Мрт-24, 05:09 (27)
- Ну не факт Как показала практика в Nightly частенько эксплойты не срабатывают, , Kuromi, 23-Мрт-24, 21:14 (93) //
  - Так это случайное исправление дыр или забыли сформировать security обновления , Пряник, 25-Мрт-24, 10:05 (129)
А у меня он отключён Шах и мат, GitLab, GitHub, Twitter и прочему дерьму , Аноним, 23-Мрт-24, 02:10 (14) //
- Если у тебя js выключен,то можно ваще какой нить netsurf или dillo взять вместо , Аноним, 23-Мрт-24, 03:45 (23)
По горячим следам разработчики из Mozilla оперативно опубликовали обновление Fi, Kuromi, 23-Мрт-24, 02:59 (19) //
- Так можно ведь сделать дифф фикса или низя , Аноним, 23-Мрт-24, 12:01 (46) //
  - Можно конечно Но описание на блюдечке со всеми подробностями конечно лучше для з, iPony129412, 23-Мрт-24, 14:04 (58) //
    - злоумышленники, не увидев подробного описания уязвимости чёёёё, диииф не-не-, Аноним, 23-Мрт-24, 16:23 (76)
      - Какой-то детский сад Время же играет роль Конечно с простым диффом потеряешь ег, iPony129412, 23-Мрт-24, 16:35 (77)
        
        Эт у тебя детский сад Ты не вырос из представлений о какерах Злоумышленники и т, Аноним, 24-Мрт-24, 12:43 (114)
        
        Конечно детский сад Открываешь такой багрепорт, а там прям написано 171 как во, iPony129412, 25-Мрт-24, 03:52 (121)
И на кой чёрт тогда нужна виртуализация и контейнерная изоляция, если всё равно , Аноним, 23-Мрт-24, 04:49 (25) //
- Слака тебя ждёт Там все просто, юниксовее и никто просто так ресурсы не жрёт , Аноним, 23-Мрт-24, 05:12 (29)
- ты начинаешь прозревать юный падаван виртуализация позволяет эмулировать физи, penetrator, 23-Мрт-24, 07:15 (31) //
  - Виртуализация не столько для безопасности, сколько для разделения ресурсов, абст, Пряник, 25-Мрт-24, 10:10 (130)
- Для безопасности Только те, кому она нужна, не VMWare используют, а микрогиперв, Аноним, 23-Мрт-24, 12:31 (47)
- Ну вот есть у вас некий сервис Он у вас развернуть на виртуальной машине Вы бэ, ss, 23-Мрт-24, 13:19 (53) //
  - rsync просто добавь файловую систему На самом деле даже tar может сделать полну, Аноним, 23-Мрт-24, 13:50 (57) //
    - если реплик больше одной, то 0 Одна из причин почему делают реплики БД, микросе, myster, 23-Мрт-24, 21:01 (91)
- Это же Ubuntu , Аноним, 23-Мрт-24, 18:33 (82)
- Оно усложняет жизнь хакеру, ну или заводит его Трудней, когда препятсвий больше, myster, 23-Мрт-24, 20:49 (90)
А всё почему Потому что не на Раст , Аноним, 23-Мрт-24, 06:48 (30) //
- если вломают софт на расте, особенно через ошибку выход за границы буфера памят, Аноним, 23-Мрт-24, 10:50 (40)
- Около 80 CVE в конечном итоге возникают из-за неправильного управления памятью, Аноним, 23-Мрт-24, 14:45 (62) //
  - - CVE-2019-16881 use-after-free, remote code execution - CVE-2018-1000657 buff , Аноним, 23-Мрт-24, 14:57 (64) //
    - На соревновании Pwn2Own 2024 продемонстрированы взломы Ubunt..., Аноним, 23-Мрт-24, 15:02 (66)
      - так на них ничего не написано еще разумеется они еще безопаснее , Аноним, 23-Мрт-24, 15:06 (68)
Какая проблема-то Через восстановление пароля за 10 секунд Как и Windows, впро, Аноним, 23-Мрт-24, 09:27 (33) //
- Вы плохо знаете линукс и убунту Пользователь root в убунту есть По умолчанию п, eugener, 23-Мрт-24, 10:50 (41) //
  - И правильно делают Мозги убунтоидов девственны , Аноним, 23-Мрт-24, 14:16 (59)
  - Из-за таких знатоков, как Вы, уважаемый инжинир, пользователи много проблем имею, Аноним, 24-Мрт-24, 14:32 (115)
- У root слишком большие права Пора вкорячивать SYSTEM-права, а admin может не всё, pic, 23-Мрт-24, 19:20 (85)
Нормально такhttps www youtube com watch v -CV14txxrIs, Аноним, 23-Мрт-24, 10:39 (39) //
- Т е победителя наказали теслой, Аноним, 23-Мрт-24, 11:59 (45) //
  - Наградили Сломал - твоя теперь, забирай и делай с ней что хочешь , Аноним, 23-Мрт-24, 13:20 (54) //
    - Сломал значит купил , ss, 23-Мрт-24, 13:38 (56)
Вот вам и Ubuntu , Аноним, 23-Мрт-24, 13:36 (55) //
- Потому что надо выбирать дистрибутив не по названию, а по системе мандатного упр, Аноним, 23-Мрт-24, 14:28 (60) //
  - Тестировался Desktop Там вообще сплошной дырявый забор SELinux под него не зато, soarin, 23-Мрт-24, 14:46 (63) //
    - Разве в Ubuntu есть SELinux SELinux не универсальное решение для обеспечения бе, Аноним, 23-Мрт-24, 15:14 (69)
      - Нет Я имел в виду Fedora c SELinuxФанатские бредни разработчики SElinux с тобо, soarin, 23-Мрт-24, 15:33 (70)
        
        Эти разработчики SElinux сейчас с вами в одной комнате Я не фанат, а пользуюс, Аноним, 23-Мрт-24, 19:52 (88)
        
        Так они пишут вубликации как эт отработает и всё такое Да не фанат, а именно что, soarin, 24-Мрт-24, 04:17 (97)
        
        С тех пор 9 лет прошло Вы ретроград и фанатик дырявой Ubuntu Это ваш выбор , Аноним, 24-Мрт-24, 09:59 (107)
        
        На соревновании Pwn2Own 2024 продемонстрированы взломы Ubunt..., soarin, 24-Мрт-24, 11:08 (112)
        
        Почему не AppArmor , Аноним, 23-Мрт-24, 23:08 (94)
        
        Во взломанной Ubuntu как раз AppArmor , Аноним, 24-Мрт-24, 00:26 (95)
        Так типичное мышление фанатиков Что исследовали и нашли дыры 8211 то небезоп, soarin, 24-Мрт-24, 04:38 (98)
        
        Слова дёшевы Докажите , Аноним, 24-Мрт-24, 10:00 (108)
      - Ну и кстати из свежего про такую выдумкуhttps www opennet ru opennews art shtm, soarin, 24-Мрт-24, 04:52 (99)
        
        Как раз и поможет Но openSUSE использует не SELinux, а AppArmor, как и Ubuntu , Аноним, 24-Мрт-24, 10:01 (109)
      - Про браузер я уже написал, как волшебный SELinux не помог в Fedora с реальной эк, soarin, 24-Мрт-24, 11:05 (111)
        
        Вы написали про то, что было 9 лет назад Вы живёте в прошлом , Аноним, 24-Мрт-24, 19:52 (117)
- Допилят https opennet ru 59987-ubuntu, Аноним, 23-Мрт-24, 15:02 (67)
Remove MObjectKeysLength computeRangehttps hg mozilla org releases mozilla-re, Аноним, 23-Мрт-24, 16:14 (74) //
- первая ссылка - заглядениепросто удалили коднет кода - нет уязвимости , segesg, 23-Мрт-24, 17:26 (79)
Почитал и охренел Выходит, все вокруг уязвимое по самое не хочу Серверы, дескт, Аноним, 23-Мрт-24, 16:22 (75) //
- goto 16 bit человек не может контролировать что больше, Аноним, 23-Мрт-24, 16:44 (78) //
  - Счеты еще никто не смог взломать Сломать да, но не взломать , Neon, 23-Мрт-24, 18:03 (81) //
    - Счёты так же взламываются через целочисленное переполнение , Аноним, 23-Мрт-24, 19:07 (84)
      - Могут ли Отцы и дети понять друг друга Счёты нельзя ВЗломать их можно тольк, Аноним, 24-Мрт-24, 08:23 (103)
- Попытки взлома Microsoft SharePoint и VMware ESXi не увенчались успехом , Аноним, 24-Мрт-24, 00:40 (96) //
  - Ну это только говорит о том, что эти попытки были и эксплоиты были написаны и пр, Аноним, 24-Мрт-24, 08:24 (104) //
    - Такие неработающие 171 эксплойты 187 и собака может хоть каждый день писать , Аноним, 24-Мрт-24, 10:04 (110)
    - Зато у mts cloud демонстрация получилась что надо злые языки говорят что там на, нах., 24-Мрт-24, 23:25 (118)
      - Теперь тёмно-красные перейдут на VMmanager , Аноним, 25-Мрт-24, 00:25 (119)
        
        на БХУВ, Штыбель, 25-Мрт-24, 10:26 (131)
Полагаю, на продаже рабочих сплоитов блекарям, они бы заработали существенно бол, Штыбель, 25-Мрт-24, 11:09 (132) //
- Чем тесла , Тесла, 26-Мрт-24, 12:18 (134)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру