https://www.opennet.ru/openforum/vsluhforumID3/122328.html В Git LFS выявлена критическая уязвимость (CVE-2020-27955), позволяющая удалённому злоумышленнику выполнить свой код в системе жертвы, при клонировании жертвой специально оформленного репозитория. Проблема проявляется только на платформе Windows и устранена в предложенном несколько часов назад обновлении git-lfs 2.12.1. На Unix системах уязвимость не проявляется...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54029<br> https://www.opennet.ru/openforum/vsluhforumID3/122328.html#92 Sat, 07 Nov 2020 09:07:15 GMT Не видели - а держали в секрете. Копрорации кстати это делали.<br> https://www.opennet.ru/openforum/vsluhforumID3/122328.html#91 Sat, 07 Nov 2020 09:05:38 GMT &gt; Майки<br><br>Это тебе твой господин запретил называть мелкософт неприятными для него словами ?<br> https://www.opennet.ru/openforum/vsluhforumID3/122328.html#89 Fri, 06 Nov 2020 12:35:13 GMT &gt; Проблема проявляется только на платформе Windows<br><br>Поэтому на лоре этой новости не будет<br> https://www.opennet.ru/openforum/vsluhforumID3/122328.html#88 Fri, 06 Nov 2020 10:38:20 GMT &gt;О том, что доработка может быть нецелесообразна по объективным причинам, не задумывался?<br><br>Значит это мёртвые ненужные платформы.<br><br>&gt;Да и вообще, это забота разработчиков прикладного софта обеспечить совместимость с определённой платформой, а не наоборот.<br><br>Это забота разработчика платформы - реализовать mmap.<br><br>&gt;Нет. Особенно в случае винды, где нет нормального пакетного менеджера, который обеспечил бы установку библиотеки совместимой версии.<br><br>Есть. Conda называется. И менеджер, и репозиторий. Сам менеджер, если честно, отвратительный - разрабы додумались туда вкорячить SMT-solver для разрешения зависимостей, типа это наиболее правильный путь, ибо задача из класса NP-полных. То что это говно теперь не работает (вернее, посчитав час, выводит вердикт, unsat, и **ись с таким вердиктом теперь сам как хочешь, проще снести всё нахрен и поставить заново), их, видимо, мало беспокоит. Зато репозиторий отличный, многое что есть в линуксовых дистрах, там есть.<br> https://www.opennet.ru/openforum/vsluhforumID3/122328.html#87 Fri, 06 Nov 2020 10:30:44 GMT &gt;Вы ещё скажите, что в былых эпидемиях флешечных autorun-вирусов во времена Windows XP были виноваты производители флешек<br><br>В том числе. На чипе контроллера во флешках есть специальная нога для защиты от записи. Производителям следовало бы эту ногу вывести на переключатель, а не предлагать пользователю это сделать самому кустарно. Но нет, будем экономить 1 цент.<br> https://www.opennet.ru/openforum/vsluhforumID3/122328.html#86 Fri, 06 Nov 2020 08:06:29 GMT а в линуксе, где путь /usr/lib хардкодится в экзишники и библиотеки при компиляции - нормально?<br> https://www.opennet.ru/openforum/vsluhforumID3/122328.html#84 Fri, 06 Nov 2020 07:00:14 GMT Кстати, тут Вы угадали, уникальный случай. Аргументация "ваша любимая Microsoft" https://www.opennet.ru/openforum/vsluhforumID3/122328.html#76<br>это как раз уровень барана. То есть он банально не умеет даже по ссылкам на профиль кликать, или заметить, что я "МИКРОсофт" тут пишу. Нафантазировал красную тряпку перед носом и вперёд, гонимый ненавистью к вымышленному врагу.)<br> https://www.opennet.ru/openforum/vsluhforumID3/122328.html#83 Fri, 06 Nov 2020 06:47:10 GMT &gt; Те, которые понимают, что делает эта стандартная библиотечная функция<br><br>А "эта" функция, на которую я выше привел ссылку, ничего криминального и не делает. Но Вы же понимаете, и потому скажете, в какой конкретно дело?<br> https://www.opennet.ru/openforum/vsluhforumID3/122328.html#82 Fri, 06 Nov 2020 06:27:21 GMT &gt; В описании говорится о другом риске.<br><br>Простите, но я даже и не думал, что кому-то здесь придётся объяснять смысл слова "подобный".<br><br>&gt; О риске запуска другого exe если <br>&gt; путь содержит пробел.<br><br>Потому что такое поведение не для всех очевидно. То что обсуждается в новости, для любого тамошнего разработчика очевидно, так же как для тутошних очевиден смысл ./. Если бы накосячившие работали с API системы, это был бы их косяк. Но они поверили в кроссплатформенность и взяли "безопасную" прослойку, которая данный случай не предусмотрела. <br>