URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 130083
[ Назад ]
Исходное сообщение
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ubuntu"
Отправлено opennews , 25-Мрт-23 15:42 
Подведены итоги трёх дней соревнований Pwn2Own 2023, ежегодно проводимых в рамках конференции CanSecWest в Ванкувере. Рабочие техники эксплуатации ранее неизвестных уязвимостей были продемонстрированы для Ubuntu Desktop, Apple macOS, Oracle VirtualBox, VMWare Workstation, Microsoft Windows 11, Microsoft Teams, Microsoft SharePoint и автомобиля Tesla.  Всего было продемонстрировано 27 успешных атак, эксплуатирующих ранее неизвестные уязвимости.  При проведении атак использовались самые свежие стабильные выпуски приложений, браузеров и операционных систем со всеми доступными обновлениями и в конфигурации по умолчанию. Суммарный размер выплаченных вознаграждений составил 1,035,000 долларов США и автомобиль. Команда, набравшая наибольшее число очков, получила 530 тысяч долларов и автомобиль Tesla Model 3...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58867

Содержание
Сообщения в этом обсуждении
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 15:42 
Команды в одном месте покупают эксплоиты в другом их «продают» безотходное производство.  
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 16:34 
АэНБэшники гонят план, сливаяя лишнее на карманные расходы.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 18:59 
А может разные службы меряются кто какие уязвимости добавил.  
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 26-Мрт-23 10:36 
Это было бы странно: в данном случае уязвимости - не более чем инструмент, а чтобы эффективнее мять ти..ку федерального бюджета по идее нужна инфа.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 16:49 
Что ж тогда 1000 команд не приехала с купленными эксплоитами?
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 18:46 
Лень, экономика не сошлась, не палятся. Саму конфу придумали люди близкие к конкретным командам или они сами. Причин тыщи.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 20:17 
Ну хотя бы сто?
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено онаним , 26-Мрт-23 01:04 
анониму лень было за теслой ехать что непонятно?
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 26-Мрт-23 02:56 
Да чёрт с ней с Теслой, но понтануться перед пацанами?!
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 15:43 
А дефолтную инсталляцию OpenBSD не могут сломать for a heck of long time.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 15:46 
Про дефолтную OpenBSD есть открытое интервью где один из разработчиков опеньки говорил что из заставляли вставлять эксплоиты в опаньку.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Всем Анонимам Аноним , 25-Мрт-23 15:51 
Можно я тоже дам такое интервью? Я не жадный, если что.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 15:57 
Конечно иди вот прям на этот сайт https://www.darkreading.com/vulnerabilities-threats/openbsd-... и ещё вот такую простыню напиши https://marc.info/?l=openbsd-tech&m=129296046123471 сделай красиво.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 16:06 
https://www.opennet.ru/opennews/art.shtml?num=28998

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 27-Мрт-23 07:09 
А где сам код в статьях?
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Всем Анонимам Аноним , 25-Мрт-23 15:50 
А пытаются? Учитывая количество пользователей... Ведь не только OpenBSD не пытаются. Операционок еще куча
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 16:02 
Количество проприетарных пользователей велико. И даже одна успешная эксплуатация это победа.  
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 16:46 
> велико

А поточнее можно?

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 17:20 
Все полтора. Соня, нетфликс и жунипер на фре. Спорный вопрос баг это или фича, но злые языки что-то поговаривали что нетфликс и джунипер на линукс сваливают в новых моделях и сервисах. Кроме всего прочего у линукса есть плюс: вон какая толпа поляну вытаптывает. Это приятнее чем эксплойтом в прод.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 26-Мрт-23 05:38 
Уже свалили.

"Juniper’s next-generation operating system, Junos OS evolved, runs native Linux and provides direct access to Linux utilities and operations."

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено bOOster , 29-Мрт-23 09:27 
Этот бред 10 лет назад еще несли. А основная часть устройств для Enterprise как была на Free так там и остается. А Junos на какой-то убогой линейке они внедрили, по запросу какого-то провайдера и досих пор внедрить не могут. Баг на баге и багом погоняет. Этот провайдер, видимо по этому, и почил в бозе...
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Хз , 28-Мрт-23 08:52 
Ещё Нинтендо
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено bOOster , 29-Мрт-23 09:32 
Не на новых - а на SOHO в основном. Или устройства которые не несут Ентерпрайзной, то есть критической для инфраструктуры нагрузки. Которые можно выкинуть и по быстрому заменить на другие.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 03-Апр-23 13:25 
> Не на новых - а на SOHO в основном. Или устройства которые
> не несут Ентерпрайзной, то есть критической для инфраструктуры нагрузки. Которые можно
> выкинуть и по быстрому заменить на другие.

Так там вроде от фри только и требуется что асики крутить. Как только необхохимо решать что-либо в софте, сразу берут линукс. Ну и как при таких вводных можно всерьёз такую дичь затирать?

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено bOOster , 05-Апр-23 07:44 
>> Не на новых - а на SOHO в основном. Или устройства которые
>> не несут Ентерпрайзной, то есть критической для инфраструктуры нагрузки. Которые можно
>> выкинуть и по быстрому заменить на другие.
> Так там вроде от фри только и требуется что асики крутить. Как
> только необхохимо решать что-либо в софте, сразу берут линукс. Ну и
> как при таких вводных можно всерьёз такую дичь затирать?

Че за бред про ASIC?
Линукс берут тогда - когда нужна помойка, которая, если сдохнет можно по быстрому заменить, ну или функционал может быть перехвачен другой идентичной железкой если заглючило.

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 05-Апр-23 15:27 
Не бред, а реалии того же Juniper, так обожаемого кабысдохами.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено bOOster , 29-Мрт-23 09:34 
Еще IX Systems, а еще Panasas - поставщик систем храниения для суперкомпьютеров.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено YetAnotherOnanym , 26-Мрт-23 22:09 
Примерно равно числу пользователей IoT-устройств.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 26-Мрт-23 21:13 
Чем отличаются проприетарных от государственных?
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено пох. , 25-Мрт-23 16:00 
Дефолтная - это которая не подключена к сети, да?
Электрической в том числе.

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 16:15 
"Безопасность через нaхерненужность"
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 17:06 
Дефолтная инсталляция kolibrios вообще непробиваема!
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 17:17 
> А дефолтную инсталляцию OpenBSD не могут сломать for a heck of long time.

Так она и не умеет ничего нужного. А если вглубь копнуть и захотеть хотя-бы виртуализатор (наверное, нормальное желание в 2023?) - там еще позорней чем у виртуалбокса какого: совершенно детские ошибки управления страничной памятью позволяющие гуесту менять память ядра хоста как ему там хочется. И что еще позорнее, найдено это было посторонними господами из нетбсды, которых утомил вон тот пиар при вон тех фактах.

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 15:54 
Мда, практически одни проблемы с памятью...
Воистину "C in CVE stands for C language"
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 15:59 
Ты до сих пор веришь что дело в языке, а не в желании определенного круга людей иметь больше возможностей чем у других. Ну продолжай жить в мире розовых пони.  
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 16:17 
При всех прочих равных - да, дело в языке. Ну продолжай жить в мире коварных заговоров.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 20:03 
Уязвимости появляются из-за языка C, именно поэтому ФБР пришлось подкупать разработчиков OpenBSD, чтобы они оставили хоть какую-то уязвимость. Просто C значит CVE, там делов на пять минут всего.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 20:40 
Как там карго? Уже не ДОБАВЛЯЕТ уязвимостей?
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 16:17 
Я до сих пор верю, что там полно @@@@@ #####, которые за 40+ лет не научились не выходить за пределы массива.
Что крайне помогает тем, кто хочет "иметь больше возможностей чем у других". И всегда можно отмазаться "это не бекдор, так просто получилось"
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 16:17 
При всех прочих равных - да, дело в языке. Ну продолжай жить в мире коварных заговоров.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 17:48 
В том то все и дело что вас псевдобезопасный недоязычок не равный и никогда им не будет.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 21:07 
> не равный и никогда им не будет.

А ребята-то и не знают... Не иначе как очередной заговор! Или просто дураки, очевидно! Можешь выбрать любое из этих двух объяснений, в зависимости от уровня совей опеннетной экспертизы.

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Илья , 26-Мрт-23 19:57 
Допустим, дело во мне.

Проверю на практике. Перепишу ради прекола проблемный кусок кода на раст намеренно не беспокоясь о памяти.

Что-то мне подсказывает...

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 17:07 
Причём тут вера? Это строго формально доказывается, если ты не в курсе.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 17:47 
Формально доказывается отсутствие злого умысла? У кого теории заговора так это у тебя.  
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 27-Мрт-23 12:19 
Формально доказывается отсутствие UB и ошибок с памятью. Это теоретически можно доказать даже на C'шном коде, и даже _формально_ доказать, но это настолько сложно, что никто не занимается этим. И всё сводится к "верю/не верю": либо ты веришь программисту, что он достаточно долго разглядывал каждую строчку своего кода, чтобы выловить всех блох, либо ты не веришь ему.

Последнее время этот подход выходит из моды, потому что пришло понимание, что верить нельзя никому. 100% программистов совершают ошибки, и при этом, как ты правильно говоришь, есть подковёрная возня целенаправленно внедряющая такие ошибки. Хочется всё же иметь возможность доказывать утверждения о коде.

И тщательный выбор языка может сделать формальное доказательство _существенно_ проще. Теоретически сам факт того, что программа написана на подобранном формальном языке и при этом компилируется и работает, может быть таким доказательством. Но это другая теоретическая крайность, потому что такие языки оказываются непрактичными.

На практике люди выбирают компромисс: язык который способствует тому, чтобы про код возможно было бы доказывать утверждения доказательствами, которые на порядки короче кода, о котором они рассуждают, но при этом с минимумом палок в колёса задаче написания кода.

А доказательство "злого умысла" по-хорошему никого не волнует как раз потому, что оно непрактично. Мало того, что сложно доказать, так ещё даже в случае успеха, это будет очень специфичным доказательством, которое доказывает что-либо о конкретном коммите, и ничего не говорит о следующем коммите. Но даже если бы оно было возможным, то останутся неумышленные ошибки. Поэтому на умысел все забивают, вообще забивают на эту идею доверия программисту, и переходят на модель недоверия программисту, стремясь максимально упростить проверку кода на безбажность. Чтобы нам не надо было бы верить в безбажность кода, чтобы мы могли бы проверить эту безбажность. Долой религию, да здравствует эмпиризм!

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Да не важно , 28-Мрт-23 12:53 
> тщательный выбор языка может сделать формальное доказательство _существенно_ проще.

Формальные доказательства ведутся, вообще-то, на машинах Тьюринга. Ну, или сводятся к уже доказанным на них утверждениям.

На C написан исходный код, Rust или каком-либо языке Ассемблера, роли не играет.

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 19:34 
Шутки шутками, а альтернатив все еще нет.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Анонимусс , 25-Мрт-23 22:11 
Да хотя бы современные плюсы - они на голову лучше сишки.
Конечно если писать не в стиле "си с классами" и не гонять void* туда-сюда.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Илья , 25-Мрт-23 22:17 
Раст есть для системщины.

Для всего остального - c#

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено GraiT , 25-Мрт-23 23:40 
А в уязвимостях Microsoft Teams и SharePoint тоже Си/С++ виноваты? А во вторых, если работаешь с СИ после освобождения не сбрасываешь в null, то это не СИ разработчик. Проблема в том, что на СИ лезут программировать после языков высокого уровня, возможно из-за большего заработка...
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Анонимусс , 25-Мрт-23 23:47 
О да, началась песня про ненастоящего шотландца)))
А как же тогда диды линукса, которые те же ошибки делали еще лет 20 назад?

Нет ребятушки, он как раз Си разработчик. Тот которого мы все заслужили.

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 26-Мрт-23 02:01 
> О да, началась песня про ненастоящего шотландца)))
> А как же тогда диды линукса, которые те же ошибки делали еще
> лет 20 назад?

Скорее 30. Тогда делали чтобы вообще заработало, желательно не очень погано и тормозно, потому что остальное не умело и так. А про вулны тогда не задумывались. Оттуда у олдов есть ряд дурных привычек. Те что поумней приучаются юзать статический анализ, асан и убсан. А наглые и глупые напускают на себя вид павлина и умничают умным видом. Только выглядят глуповато когда я какой-нибудь отрицательный индекс массиву дают. А чо, в входе написано int - caller и скормил туда -50, он что, знает как функция внутри сделана?! И уж тем более не ожидал что падлюка даже ошибку не вывалит и просто все вынесет.

> Нет ребятушки, он как раз Си разработчик. Тот которого мы все заслужили.

Да они остальные так то еще хуже в массе своей, так что вы недооценимаете масштаб задника. Можете посмотреть список CVE, там полно всего что угодно. А половина просто поломалось формально CVE получать.

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 26-Мрт-23 05:49 
Asan спасает не во всех случаях. С остальными средствами тоже самое. Да средства помогают, но не всегда. Если нв проекте не используют статический анвлизатор или asan у тебя дополнительный гиморой это внерять, а будешь делать на уровре проекта на тебя ещк и обслуживание этой балалайки повесят.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 26-Мрт-23 01:00 
> на СИ лезут программировать после языков высокого уровня, возможно из-за большего заработка...

Ахаха, о...я история! В реальности, однако, ровно наоборот: после нескольких лет выгребания enbedded конюшен за копейки, люди переходят на более адекватные, денежные и интересные области разработки ПО (естественно, с более высокоуровневыми языками для 80% задач).

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 26-Мрт-23 02:07 
Да вон на одеске эти высокоуровневые раджи за $5 в час наворачивают, а то и за $3. Они б и в эмбедед наворачивали, но мозгов чаще всего не хватает. Хотя ардуина иногда позвволяет и им позажигать. К счастью этот клубок проводов непонятного назначения выглядит подозрительно не только для полисменов но и для самих кастомеров, все же кастомеры любят красиво оформленые решения, и снаружи и внутри.

А еще - воооооон там несколько десятков тысяч вот этих отправили на мороз в почти всех крупных корпах. Эмбедеров так - себе дороже получается, потом все факапаеся и манагемент в курсе. А вот этих можно и вышибить и новых при нужде нанять в любой момент. Еще и скостив зарплату. А не нравится - ну и не програмьте. Как показал Элон Маск 80% этих господ вообще можно вынести без чрезмерных проблем. Лучше всего эти господа в слащавых графиках и надувании щек, но это на самом деле не так уж и нужно, а эти господа сильно переоценены. Но сейчас этот пузырь сдувается а длинная очередь бангалорцев намекает что им и за три бакса в час - сойдет.

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Илья , 26-Мрт-23 19:16 
> лезут программировать после языков высокого уровня, возможно из-за большего заработка...

Надо в особой касте родиться, на си писать?

Сишники такие снобы.

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено GraiT , 29-Мрт-23 22:15 
А кто про это говорил/писал? Сам себе придумал?! Если нет потребности использовать СИ/СИ++ так зачем лезть? Потом себе чего-то придумывать про касты и пытаться поумничать?! Если нужно быстро чего-то наваять, то используй что по проще, если на низкий уровень нужно, то нужно знать и понимать подводные камни, и не нужно мельницы искать там, где их нет...
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Илья , 01-Апр-23 07:23 
Звучит, как будто если взять раст - то это решит все проблемы.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 26-Мрт-23 21:17 
Соха и мотыга )
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено ptr , 27-Мрт-23 13:32 
С точки зрения безопасности, совершенно без разницы, unsafe блок в Rust или C, который весь unsafe. Просто не надо писать на C то, что не требует разыменования указателей и прямого доступа к регистрам в CPU или памяти. Ну или хотя бы локализовывать такой код, как это делается в Rust.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено НяшМяш , 25-Мрт-23 16:03 
Получается роллинг дистрибутивы самые безопасные. Пока исследователи находят эксплойты для убунты с тухлыми пакетами, винды с 30-летним легаси и макакоси - на роллинге версии пакетов постоянно в движении и не факт что найденный эксплойт сработает. А при публикации уязвимости её патчат в течение считанных часов.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 16:13 
Роллинг может поднасарть и без эксплойтов.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено п , 25-Мрт-23 21:29 
Почему и непреемлем в качестве решения.
Почему и Fedora отдельно от RHEL.
Почему и Бубунта поверх Дебиан.
Да.


Роллинг - зло для тех, кому нужен полезный компьютер.
Добро для тех у кого комп. вечно полусломан.

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено лютый ж.... , 25-Мрт-23 22:13 
>Получается роллинг дистрибутивы самые безопасные

они и самые удобные для десктопа. хотя у меня есть и немного серверов на арче, где всё внутри и торчит только haproxy.

>Роллинг может поднасарть

быстро поднятое не считается упавшим.

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено soarin , 25-Мрт-23 16:18 
как-то не очень
ну вот gentoo не особо славится быстрым реагированием
да и не так уж в новых версиях всё наломано, что не сработает
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Анонимусс , 25-Мрт-23 16:18 
Секьюрити фиксы даже в убунту прилетают быстро.
А вот у деба с этим чуть больше проблем.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 16:21 
Это прекрасно работает в обе стороны, и в ролинге ты легко можешь заработать уязвимость, которой в старых версиях просто нет.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 20:46 
Но не факт что этими уязвимостями успеют воспользоваться.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено п , 25-Мрт-23 21:33 
Лучше старые известные баги, чем низвестные новые.
Т.к. со старыми - предсказуемость и обновления за оговоренное купленное время поддержки. А с новыми - неизвестность, что неприемлемо.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 20:48 
Только если её туда специально добавят. Потому что случайную ошибку ещё найти нужно и проэксплуатировать, а за это время она уже может стать неактуальной.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено НяшМяш , 25-Мрт-23 23:04 
Всё верно. Только её ещё обнаружить и проэксплуатировать нужно. А когда обнаружат - опять же максимум несколько часов и я в безопасности.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено iPony129412 , 26-Мрт-23 04:19 
Так не работает.
Выше уже пример был
https://www.linux.org.ru/forum/general/12083143
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено НяшМяш , 27-Мрт-23 17:57 
Не надо на частный случай генты вешать остальные роллинги.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено iPony129412 , 28-Мрт-23 05:02 
> Не надо на частный случай генты вешать остальные роллинги.

Как будто в Arch профеесиональная секурить окмнда и это всё...

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 18:48 
Давай ты можешь открывать свой фейсбук на арчике, не забудь сюда скинуть свой домен.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Kuromi , 25-Мрт-23 19:49 
С браузерами тоже самое, пока эксплойты ломают стабильную ветку в альфе это уже не работает.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 26-Мрт-23 01:15 
В альфе обкатываются новые эксплойты.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Kuromi , 26-Мрт-23 14:24 
> В альфе обкатываются новые эксплойты.

Тогда ночнушка. Её пользователей статистически немного и смысла специально в них метить нет.

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 26-Мрт-23 21:29 
В ночнушке на проспект?
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено ptr , 27-Мрт-23 14:16 
Но менее стабильные, так как интеграционное тестирование отсутствует. Гента удобна для кастомной сборки, но отвалившаяся функциональность после обновления в ней случается нередко. Вплоть до ошибок сборки. И приходится руками блокировать более новые версии пакета, из-за которого сборку расколбасило.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 16:21 
> Проблемы были вызваны двойным освобождением памяти, обращением к памяти после освобождения, некорректной работой с указателями.

Эх, не хватило только вылезти за пределы буфера - и получилось бы типичное бинго на сишечке.

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 18:21 
Что за ноут?
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 18:58 
Dell XPS 13 Plus
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Вы забыли заполнить поле Name , 25-Мрт-23 22:07 
На оф сайте цена с Windows $1,149.00, с Ubuntu $1,249.00
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Анонин , 25-Мрт-23 22:22 
О_о. И это при одном и том же железе.
Это тест на лоxа? Или оплата сотруднику за форматирование диска от винды и накатку бубунты?
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Илья , 25-Мрт-23 22:28 
Сотку платишь за то чтобы венду удалить
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 23:19 
Да венда доплачивает за то чтобы было дешевле. А лох тот кто покупает венду.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено п , 25-Мрт-23 23:35 
> А лох тот кто покупает венду.

Лох использует Венду от купленного комп-а. Т.к. урезанная в возможностях.

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Вы забыли заполнить поле Name , 27-Мрт-23 03:20 
>> А лох тот кто покупает венду.
> Лох использует Венду от купленного комп-а. Т.к. урезанная в возможностях.

В каких?

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Анонин , 27-Мрт-23 13:51 
В возможности показать себя нелохом и заплатить лишние 100 баксов за такой же ноут.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено soarin , 26-Мрт-23 06:01 
ну как бэ нет.
некоторые, не поверишь, даже добровольно донаты отправялют.

А так конечно - это всё не бесплатно же. В том числе сертификат получить https://ubuntu.com/blog/dell-xps-13-plus-developer-edition-n...

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено soarin , 26-Мрт-23 06:05 
> О_о. И это при одном и том же железе.
> Это тест на лоxа? Или оплата сотруднику за форматирование диска от винды
> и накатку бубунты?

ну и ответ прост

https://ubuntu.com/certified/202112-29802

> Pre-installed in some regions with a custom Ubuntu image that takes advantage of the system’s hardware features and may include additional software. Standard images of Ubuntu may not work well, or at all.

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Илья , 25-Мрт-23 22:09 
Я, конечно, всё понимаю, но адобе ридер это же просматривалка документов?

Как это понимать вообще?

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Вы забыли заполнить поле Name , 25-Мрт-23 22:13 
> но адобе ридер это же просматривалка документов?

А браузер это просматривалка веб страничек...

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Илья , 25-Мрт-23 22:21 
Нет, это не так
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Вы забыли заполнить поле Name , 27-Мрт-23 03:21 
> Нет, это не так

Ну дык и адоб риэдер тоже не так. Там есть js и прочий шлак внутри.

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено НяшМяш , 25-Мрт-23 23:06 
https://www.pdfscripting.com/
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 23:21 
В 2000 году Адобе метила чтобы адоб стал новым браузером. А весь контент в инете стал пдфками. Поэтому там накрутили свою джавускипт, аякс, пост запросы и всё такое. А потом оказалось что это всё надо поддерживать. А пдф инет не взлетел.  
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено п , 25-Мрт-23 23:39 
И вот айда на Пдф напишем раскладку текста... Или на Постскрипте. Или на Tex.

Ясен пень, оно всегда не взлетит. Если только пограмист-верстальщик человек.

Кто-то может куда-то и метил. Но Пдф всю жизнь был и остался: текст в Пдф - как эпитафия на камне на могиле - всё сделано, ничего не исправить.

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 26-Мрт-23 00:37 
Хорошо зачем там тогда поддержка форм?
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено soarin , 26-Мрт-23 06:11 
PDF весьма сложный формат.
Даже видел со встроенными Flash элементами.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Вы забыли заполнить поле Name , 25-Мрт-23 22:10 
> Команда, набравшая наибольшее число очков, получила 530 тысяч долларов и автомобиль Tesla Model 3.
> Две атаки на информационно-развлекательную систему автомобиля Tesla и Gateway Tesla, позволившие получить root доступ

Им подарили машину с уязвимостью?

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Анонн , 25-Мрт-23 22:12 
Думаю у них хватит компетентности ее пропатчить самостоятельно)
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено п , 25-Мрт-23 23:40 
Интересно как они машину поделят...
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 26-Мрт-23 01:19 
Продадут и поделят.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 26-Мрт-23 19:43 
Ждём, когда в ход пойдут Фальконы:
https://www.opennet.ru/opennews/art.shtml?num=53083
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Вы забыли заполнить поле Name , 27-Мрт-23 03:18 
> Ждём, когда в ход пойдут Фальконы:
> https://www.opennet.ru/opennews/art.shtml?num=53083

Было бы неплохо. Старлинки бы тоже ломануть.

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 25-Мрт-23 23:56 
А дебиан таки не поломан?
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 26-Мрт-23 00:39 
Да причём бай дизайн.  


"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено name , 26-Мрт-23 14:34 
Сколько експлоитов нашли в NetBSD? Тотоже.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 26-Мрт-23 16:18 
А кто-то это ненужно пентестил?
Там вообще-то приходят фирмы и скидываются на призовой фонд.
На NetBSD (и прочую бздю) скинулись аж никто))
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено name , 26-Мрт-23 17:31 
Ну вот! Какому кулхацкиру или скрипткиддису вообще придет в голову ломать такое? Вы смеетесь над неуловимым джо, а тем временем сервера на нетбсд самые защищенные на сегодняшний день и ничем той же убунте не уступают.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 26-Мрт-23 21:02 
Не-не-не. Это "пользователи" netbsd не хотят платить деньги.
А те, кто хочет их взломать - платят, но не таких конфах, а где-то в даркнете.

> сервера на нетбсд самые защищенные на сегодняшний день

Блажен кто верует. Пруфов, как я понял, даже просить нет смысла?

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено name , 27-Мрт-23 09:53 
Никто не хочет, а если хочет, то не может, потому что кулхацкир не будет тратить силы на 1,5 инвалида, которые хотят, ему нужен массмаркет по типу убунты или на худой конец фрибсд, где, кстати, на безопасность кладут жирный болт.

Пруфы у тебя в статистике.

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 26-Мрт-23 17:47 
В чём смысл этой клоунады если достаточно недырявого процессора чтобы уровнять шансы любой ОС. Ах да, тогда же и язык с талисманом в виде  клопа ненужен станет.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 26-Мрт-23 19:39 
Вот тебе и Ubuntu!
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Минона , 26-Мрт-23 22:09 
А где награды за взлом Android, iOS и Harmony OS?
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено YetAnotherOnanym , 26-Мрт-23 22:11 
Ты ещё за VxWorks, RTEMS и Neutrino потребуй.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Минона , 27-Мрт-23 08:15 
> Ты ещё за VxWorks, RTEMS и Neutrino потребуй.

Это нишевые ОС.
А те на миллионах девайсов стоят.

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено НяшМяш , 27-Мрт-23 18:00 
> VxWorks
> нишевые

Сотовые модемы: *постят картинку со смеющимся Томом Крузом*

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Минона , 28-Мрт-23 07:00 
>> VxWorks
>> нишевые
> Сотовые модемы: *постят картинку со смеющимся Томом Крузом*

Это в каких?
И зачем вообще в сотовом модеме ОС?

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 27-Мрт-23 12:23 
> продемонстрировано пять успешных попыток эксплуатации ранее неизвестных уязвимостей в Ubuntu Desktop
> Кроме того, была предпринята шестая попытка атаки на Ubuntu, но эксплоит не сработал

То есть выходит попыток было всего шесть, из них пять - успешные, в одной эксплойт не сработал, так что ли?

"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 27-Мрт-23 15:24 
А если глаза пользователя вытекают от цветовой гаммы и он может не заметить каких-то вещей, это считается уязвимостью?
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено Аноним , 27-Мрт-23 17:27 
Глаз.
"На соревновании Pwn2Own 2023 продемонстрировано 5 взломов Ub..."
Отправлено paulus , 31-Мрт-23 17:04 
Какую бубунту ломали-то?