LINUX.ORG.RU
решено ФорумTalks

Какова вероятость существования крит.уявзимости в ядре, о котором знает лишь определенный круг лиц?

 ,


0

1

Я не имею понятия как происходит поиск уязвимостей, но, как я понимаю, если кто-то наткнулся и рассказал о ней публично, то её прикрыли с громким заголовком «найдена критическая уязвимость<...>» но если наткнулись, и рассказали лишь узкому кругу лиц, например, за определенную плату.

Выходит, что вероятность существования какой-то подобной уязвимости очень высока. Верно?



Последнее исправление: kramh (всего исправлений: 5)

Верно. При этом, вероятность нахождения одной и той же дыры двумя разными людьми (командами людей) тоже очень высока.

takino ★★★★★
()
Ответ на: комментарий от takino

Какова вероятность существования уязвимости, которую никто не замечает очень долгое время(лет 10)?

Или их довольно быстро прикрывают?

kramh
() автор топика
Ответ на: комментарий от gill_beits

Ждем мнение ыкспертов, жидорептилоидов и свидетелей заговора.

Я с нетерпением ожидаю шанса стать свидетелем существования ыкспертов, жидорептилоидов и свидетелей заговора. Я думал это вымышленные персонажи.

Stahl ★★☆
()

Ведь, исходя из своих личных интересов, куда выгодней продать найденную уязвимость, чем прокричать о ней. И если она попадет в руки профессионалов, то о ней может быть не известно очень долгое время.

kramh
() автор топика

100% вероятность что и в софте и в ядре есть критические уязвимости, успешно эксплуатирующиеся. Как найденные, так и добавленные специально под видом патчей и фиксов

WindowsXP ★★
()
Ответ на: комментарий от kramh

Нет. Потому, что вероятность такой ситуации в альтернативном недософте - выше.

takino ★★★★★
()

Ядро, ядро...

Да на оно кому нужно в эксплуатации то - не туда смотришь.

fornlr ★★★★★
()
Ответ на: комментарий от WindowsXP

Я поинтересовался, не все ли так безнадежно?

kramh
() автор топика
Ответ на: комментарий от kramh

Почему нужно бояться дыр в ядре? Чем они опаснее дыр в прикладухе?

CaveRat ★★
()
Ответ на: комментарий от WindowsXP

Кстати, а насколько реально создать «идельный» софт, без багов вообще? Я имею ввиду, чем выше сложность, тем больше багов, т.к. человеку сложней учесть большее количество факторов и все их варианта взимодействия, но ведь это возможно.

Возможно ли, что лет через 30 будет писаться только «идеальный софт», т.к. сверхразумный ИИ будет его тестировать со всех сторон?

kramh
() автор топика
Ответ на: комментарий от kramh

Наса делает идеальный софт без багов. Там на каждую правку кода надо написать 100500 докладных записок и провести 100500 совещаний. Не все программисты могут работать в таких условиях.

xnick
()

знакомы чувак уже много лет живет на каких-то никому не известных уязвимостях, имеет квартиры и машины

stevejobs ★★★★☆
()
Ответ на: комментарий от stevejobs

Дай угадаю - уязвимости в УК РФ? Или в налоговом кодексе?

CaveRat ★★
()

Ну что поделать, если даже

SELinux был разработан Агентством национальной безопасности США, и затем его исходные коды были представлены для скачивания

Данайцы гордятся потомками

JN
()
Ответ на: комментарий от Stahl

Я ыксперт, и у нас не всё так однозначно, как кажетсч на первый взлюгляд

false ★★★★★
()
Последнее исправление: false (всего исправлений: 1)
Ответ на: комментарий от kramh

Возможно ли, что лет через 30 будет писаться только «идеальный софт», т.к. сверхразумный ИИ будет сам его писать?

fixed

targitaj ★★★★★
()

Она равна 0.999..., вот число девяток я точно не прикину.

dn2010 ★★★★★
()
Ответ на: комментарий от xnick

Главное чтобы космонавты на орбите не обновились на тестовую ветку.

polym
()

Моё мнение. Системы для которых критична безопасность должны иметь минимум запущенных сервисов и максимально их разграничивать допуская между ними лишь заранее определённые взаимодействия. Таким образом будет предотвращена эскалация уязвимостей.

Грубо говоря, прежде чем добраться до ядра, скорее всего придётся взломать сайт и запустить исполняемый файл. А потом нужно будет выбраться из docker или chroot. Ну ты понял.

rezedent12 ☆☆☆
()

Какова вероятость существования крит.уявзимости в ядре, о котором знает лишь определенный круг лиц?

110%. Так оно вообще говоря всегда и есть, правда бабло здесь не всегда имеет место. Нормальные люди, найдя дупло, прежде чем трубить об уязвимости на каждом углу сначала тихо скажут разрабам чтоб те подправили

upcFrost ★★★★★
()

Возможность резиста КРАЙНЕ МАЛА!

paran0id ★★★★★
()

Для этого и пилят PaX чтобы хоть как-то снизить вероятность успешной эксплуатации подобной уязвимости.

feanor ★★★
()

Обратно пропорциональна фактору автобуса

Esteban_Garcia
()

1/2
Или существует, или не существует

TheAnonymous ★★★★★
()

Вероятность бесконечно высока, поэтому если у вас крайне важная информация, то всегда нужны дополнительные слои защиты.

umren ★★★★★
()
Последнее исправление: umren (всего исправлений: 1)

100%.

Как минимум одна есть и какое-то неотрицательное число людей об этом точно знает.

Что спросит-то хотел?

t184256 ★★★★★
()
Ответ на: комментарий от xnick

то-то в их зондах баги находили: лисперы часто гордятся удалённой правкой багов в Voyager-2 (вроде, в нём, если не путаю)

next_time ★★★★★
()
Последнее исправление: next_time (всего исправлений: 1)
Ответ на: комментарий от t184256

Может просто фильтровать весь трафик кроме тех ip, в которых есть потребность в данный момент?

kramh
() автор топика
Ответ на: комментарий от t184256

А, и еще. Гипотетически, можно ли создать абсолютно идеальнре ПО без уязвимостей/багов? Я немного выше это спрашивал более подробно, но никто не ответил.

kramh
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Talks