| 1.1, Аноним (1), 22:59, 12/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +40 +/– |
Ирония. Уязвимость в подсистеме, которая должна была бы повышать безопасность.
| | |
| |
| 2.7, Аноним (7), 23:33, 12/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
C#, .Net с этого же начинал ;) Главное, чтобы это была только уязвимость, а не намеренный бэкдор.
| | |
| |
| 3.45, Аноним (45), 10:22, 13/02/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Главное всех и себя в этом убедить? Или вы считаете бекдор это адрес backdoor.samsung.local с логином и паролем?
| | |
| |
| 4.82, ононым (?), 23:00, 19/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
любой обнаруженный бэкдор считать уязвимостью, что б политкорректно было, ну конечно-же если речь идет не о китайскои или, не дай боже, о российском, если российское - то это рука ноги кремля!
| | |
|
|
| 2.9, Аноним (9), 23:51, 12/02/2020 [^] [^^] [^^^] [ответить]
| +3 +/– |
Это нормально. Уязвимости бывают также к патчах hardered на ядро Linux, а также патчах Grsecurity на него же. А также в SElinux, AppArmor, TOMOYO
| | |
| |
| 3.33, Аноним (33), 06:58, 13/02/2020 [^] [^^] [^^^] [ответить]
| –4 +/– | |
> hardered, Grsecurity, SElinux, AppArmor, TOMOYO
Прошу заметить, что всё это плацебо разрабатывается сторонними разработчиками, и не входит в ядро. Отсюда делаем неутешительный вывод: если это рeшето то на кой оно нужно?
| | |
| |
| 4.35, Урри (?), 07:12, 13/02/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Не решeто, а баги.
Баги и ядре бывают. Тоже "на кой оно нужно"?
| | |
| 4.55, Аноним (55), 13:43, 13/02/2020 [^] [^^] [^^^] [ответить]
| +/– | |
Плацебо — это grsecurity и прочий hardened. Изначально делалось ради пиара, теперь делается ради выкачивания денег.
> SElinux, AppArmor, TOMOYO
> разрабатывается сторонними разработчиками, и не входит в ядро
No. Все они уже больше десяти лет в mainline.
| | |
| |
| |
| 6.62, Аноним (55), 17:09, 13/02/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> SELinux и AppArmor тоже плацебо.
Зависит от настроек.
Тот же apparmor позволял с минимальными трудозатратами отучить линуксовый скайп от привычки читать и отсылать в мелкософт файлы из хомяка.
| | |
| |
| 7.63, Аноним (-), 20:28, 13/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Тот же apparmor позволял с минимальными трудозатратами отучить линуксовый скайп от привычки
> читать и отсылать в мелкософт файлы из хомяка.
Проще в контейнер засунуть, и пусть там хоть всю систему в майкрософт сливает. Что они с пустым контейнером делать будут? Да и вообще, они что, сами его собрать себе не могут? :)
| | |
|
|
| 5.75, Аноним (75), 12:09, 14/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Не сказал бы, что grsecurity прямо уж бесполезен. Он хотя бы проще и удобней того же selinux (и не заменяет его), при этом большинства его возможностей не было в ядре, когда это было актуально. Да и почему повышение устойчивости к классическим методам атак (до сих пор актуальным) — это плацебо?
| | |
| |
| 6.76, Аноним (55), 15:04, 14/02/2020 [^] [^^] [^^^] [ответить]
| +/– | |
Потому что делается человеком, не имеющим достаточной квалификации (правда, он тут неделю назад хвастался, что одного профессионально разработчика нанял, но не убежит ли этот разработчик через месяц — большой вопрос).
Ну и нормального аудита этого "продукта" никогда не проводилось (иначе был бы скандальчик погромче, чем в нынешней тему, да).
| | |
| |
| 7.77, Аноним (75), 16:52, 14/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Помню, Линус палец показал, мол, побег из изоляции это не баг, а фича. А с pax была история, что хотели как лучше, а получилось как всегда. Но, всё-таки, если пробитие селинукс и тривиально для нынешней малвари, то пробитие харденед ядра вероятно только если там есть очевидная уязвимость
| | |
| |
| 8.79, Аноним (55), 11:48, 17/02/2020 [^] [^^] [^^^] [ответить] | +/– | Вообще-то наоборот Науке пока не известно ни одного случая пробития селинукса и... текст свёрнут, показать | | |
| |
| 9.80, Аноним (75), 12:42, 17/02/2020 [^] [^^] [^^^] [ответить] | +/– | Науке Почему тогда в новостях постоянно репорты как вирус целенаправленно обход... текст свёрнут, показать | | |
|
|
|
|
|
|
| 3.59, рппп (?), 14:43, 13/02/2020 [^] [^^] [^^^] [ответить]
| +/– | |
Шанс. что найдут дырку в редко/опционально используемой подсистеме же меньше?
Апдейт безопасности самсунг не планирует? Кто эту дырку то нашел?
| | |
|
| 2.12, Аноним (12), 00:15, 13/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Про именно такие вещи и сказано что благими намерениями вымощена дорога в ад...
| | |
| 2.25, Аноним (25), 01:46, 13/02/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
Котшнаая должна предотвращать потерю контноля вендора над платформой. Не благодари.
| | |
| 2.38, Аноним (38), 08:02, 13/02/2020 [^] [^^] [^^^] [ответить]
| +13 +/– |
 - У вас дыра в безопасности.
- Ну хоть что-то у нас в безопасности.
| | |
| 2.43, КО (?), 09:39, 13/02/2020 [^] [^^] [^^^] [ответить]
| –3 +/– |
И никто не задумался, а зачем ядро от Гугла выдает PID от только что завершенного процесса другому процессу.
| | |
| |
| 3.56, Аноним (55), 13:45, 13/02/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Не от Гугла, а от Линуса.
И ответ очевиден — потому что Томпсон и Ричи завещали так делать.
| | |
|
| 2.58, Аноним (58), 14:18, 13/02/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Ирония. Уязвимость в подсистеме, которая должна была бы повышать безопасность.
Хотели как лучше, а получилось как всегда.
| | |
| |
| 3.71, хотел спросить (?), 01:34, 14/02/2020 [^] [^^] [^^^] [ответить]
| +/– | |
Это просто самсунг, с ПО и саппортом у них всегда были проблемы
сосредоточились бы лучше на железе, там у них картина намного лучше
| | |
|
|
| 1.3, Аноним (3), 23:04, 12/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Тяп-ляп и в продакшн. Ничего, гнусмасохомяки тыквовизоры схавали, и этим не подавятся.
| | |
| |
| 2.4, IRASoldier_registered (ok), 23:08, 12/02/2020 [^] [^^] [^^^] [ответить]
| +3 +/– |
 Яблофаги такое тоже хавали. И линуксоценители. И продолжат хавать все и всегда, ибо патчи пишут люди, а людям свойственно ошибаться по природе.
| | |
| |
| 3.8, rshadow (ok), 23:35, 12/02/2020 [^] [^^] [^^^] [ответить]
| –4 +/– |
 > по природе
Что за бред. Люди придумали математику. Можно писать код и ДОКАЗЫВАТЬ правильность исполнения математически.
Вопрос только в том насколько дорого это будет. Радуйтесь что все +/- в разумных пределах делается.
| | |
| |
| 4.13, Аноним (12), 00:16, 13/02/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Можно писать код и ДОКАЗЫВАТЬ правильность исполнения математически.
Для программ уровня hello world. Не взаимодействующих между собой. А для любой мало-мальски сложной системы проблема в том что там возможно зело дофига состояний :)
| | |
| |
| 5.18, rshadow (ok), 00:58, 13/02/2020 [^] [^^] [^^^] [ответить]
| –2 +/– |
Возможно дофига потратить времени и бабла. Поэтому и не делают. И правильно делают.
| | |
| |
| 6.22, Аноним (-), 01:36, 13/02/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Дофига времени может оказаться почти синонимом бескончности. Зачем тебе программа после превращения твоего светила в красного карлика? :)
| | |
| 6.66, Lex (??), 21:43, 13/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
 Не всё так просто.
В нынешнее время, проблема в том, что море эпических дыр и недоработок существует практически на всех уровнях вплоть до "железа"( в т.ч неизвестных, в т.ч появляющихся в новых версиях и выпусках ).
На таком г.не заведомо невозможно написать действительно защищённый софт, если речь о чём-то с обилием функционала и взаимодействием с другими модулями/софтинами.
| | |
|
| 5.29, Аноним (29), 05:25, 13/02/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
 >Для программ уровня hello world. Не взаимодействующих между собой. А для любой мало-мальски сложной системы проблема в том что там возможно зело дофига состояний :)
Особенно при использовании классов в которых 90% функциональности не нужна. А так же многоуровневых абстракций. Парадокс в том, что пользователи самых непредсказуемых языков больше всех ратуют за безопасность.
| | |
| 5.54, arthi (ok), 13:26, 13/02/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Дело даже не в хелло вордах а в компиляторах всего этого дела.
| | |
|
| 4.21, IRASoldier_registered (ok), 01:29, 13/02/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Можно писать код и ДОКАЗЫВАТЬ правильность исполнения математически
Это ты так толсто намекаешь, что пора переводить написание ОС начиная от ядра и заканчивая прикладным софтом на б-жественный Haskell?
| | |
| |
| |
| 6.46, Аноним (46), 10:23, 13/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Ядро под JVM? Медленно будет ворочаться, да и дырок в этом JVM, наверняка, больше, чем в нынешнем сишном ядре.
| | |
|
| 5.64, Аноним (64), 20:33, 13/02/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> ядра и заканчивая прикладным софтом на б-жественный Haskell?
А системных програмеров они в дурке будут нанимать? Обычные люди явно не смогут вдуплить как низкоуровневые системные сущности загнать в высокопарные абстракции. Окажется что еще процы нужны какие-то не такие как у всех.
| | |
| |
| 6.72, IRASoldier_registered (ok), 07:33, 14/02/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Окажется что еще процы нужны какие-то не такие как у всех.
Хм. А вот это уже гипотетически интересно. И может выстрелить лет через 25-30.
| | |
|
|
|
| 3.16, Аноним (3), 00:48, 13/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Не спорю, люди ошибаются. Но Samsung впереди планеты всей (за исключением Apple) по пропихиванию зондированного хлама с огораживанием всей внутренней кухни от глаз пользователя. И это за цену выше аналогов от Asus, Sharp и Xiaomi, несмотря на то, что Samsung сам производит память, экраны и чипы для своих аппаратов. Один только счетчик прошивок и брак emmc на Galaxy SIII (флагман на тот момент) заставил меня отказаться раз и навсегда от их поделок. Но люди все берут их, несмотря на ухудшающуюся репутацию производителя. Чем это можно объяснить? Ведь с HTC и Meizu ситуация обратная. И где новости про дыры в Sony Xperia или Google Pixel?
| | |
| |
| 4.20, IRASoldier_registered (ok), 01:25, 13/02/2020 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> И это за цену выше аналогов от Asus и Xiaomi
...при этом за цену существенно ниже аналогов от Apple, а качество сборки и софта повыше Asus (хотя Asus крепкие хорошисты в этом) и тем более - Xiaomi. Ты бы ещё про, прости Господи, Huawei упомянул...
> заставил меня отказаться раз и навсегда от их поделок
Дело вкуса. Заставьте себя отказаться раз и навсегда от попыток доказать окружающим, что именно ваш вкус и ваши потребности (как я понял, любитель рутования?) идеальны, а они бессознательные жеватели кактусов.
> несмотря на ухудшающуюся репутацию производителя
...аппарат 2017 года в идеальном состоянии, удовлетворяет потребности в качестве плеера, читалки, мобильного браузера и очень даже годного фотоаппарата и видеокамеры. И это не флагман, а как бы бюджетная А-серия. Собсно в этом году прикупил А70, доволен как слон.
| | |
| 4.28, iPony129412 (?), 05:05, 13/02/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Но люди все берут их, несмотря на ухудшающуюся репутацию производителя. Чем это можно объяснить? Ведь с HTC и Meizu ситуация обратная.
Я тоже перестал брать Samsung. Но поскакав по Android-пи понял, что везде весело.
Особенно про Meizu смешно — уж им то куда ухудшатся то...
| | |
|
| 3.39, Аноним (39), 08:03, 13/02/2020 [^] [^^] [^^^] [ответить]
| +5 +/– |
Так это же патч от самсунговцев, а эти товарищи - известные руко*опы. Единственное, что спасает продажи их устройств - известность бренда. В остальном в их поделиях вечно что-то отваливается и работает не так, как задумывалось.
| | |
| |
| 4.48, КГБ СССР (?), 10:33, 13/02/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
А ты конечно пишешь код без уязвимостей, ну вперед устраивайся в samsung и покажи как нужно писать код.
| | |
| |
| 5.53, Аноним (53), 12:28, 13/02/2020 [^] [^^] [^^^] [ответить]
| +3 +/– |
Зачем ты тратишь на линуксоидов свое драгоценное время? Скорее переустанавливай ШИНДОШС!!!
| | |
|
|
|
|
| 1.10, vantoo (ok), 00:04, 13/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
 Если эту уязвимость можно использовать для получения рута, то это скорее фича.
| | |
| |
| 2.17, Аноним (3), 00:57, 13/02/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
Но лучше было бы без уязвимостей и с возможностью получения рута без плясок с бубном, как в старые добрые времена HTC HD2 и Nokia N9.
| | |
|
| 1.24, 4eburashk (?), 01:46, 13/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +7 +/– |
 Анализатор троянов производителя троянов обнаружил чужой троян в нашпигованой троянами системе? О! Как такое могло случиться?!
| | |
| 1.27, Аноним (27), 03:59, 13/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
И это самсунг. Страшно подумать сколько дыр в модификациях от xiaomi. Там вообще живого места от андроид не осталось.
| | |
| |
| 2.61, Здрасьте (?), 16:59, 13/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
«От Андроил», да. Скоро от русский язык ничего не останется, научитесь склонять уже!
| | |
| |
| 3.65, Аноним (64), 20:34, 13/02/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> «От Андроил», да.
Отандроил? Наверное, это в прошедшем времени...
| | |
|
|
| 1.30, Аноним (33), 05:48, 13/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> и может использоваться для повышения своих привилегий и получения полного контроля за устройством
То есть по умолчанию у пользователей самсунгов нет полного контроля над __своим__ устройством? Так и запишем.
| | |
| |
| 2.34, гугель (?), 07:05, 13/02/2020 [^] [^^] [^^^] [ответить]
| +2 +/– | |
это НАШЕ устройство, раб!
Просто мерзский самсунг, как обычно, пытается воровать чужих рабов.
| | |
| 2.44, Аноним (46), 10:17, 13/02/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
А у пользователей любого устройства с Android с проишивкой от производителя есть полный контроль над, как бы, своим устройством?
| | |
| 2.49, anonymous (??), 10:38, 13/02/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> То есть по умолчанию у пользователей самсунгов нет полного контроля над __своим__ устройством?
Над устройством — есть. А вот над ПО — нет. Потому что оно несвободное и тивоизированное.
| | |
|
| 1.40, Аноним (40), 08:06, 13/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
в февральском обновлении самсунг исправил это
SVE-2019-16132: Use after free and double free in PROCA
обновляйтесь скорее)
| | |
| |
| 2.47, Аноним (45), 10:32, 13/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Не все телефоны получают обновления и не факт что в них этой уязвимости нет. Вот для них будет Ой.
| | |
| 2.68, vitalif (ok), 23:18, 13/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
 нет уж спасибо, не нужны мне такие "фичи", которые телефон от меня закрывают
| | |
|
| 1.78, Аноним (78), 09:55, 15/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> PROCA обеспечивает отслеживание подлинности процессов и их соответствие изначально запущенным исполняемым файлам. Проверка осуществляется на основе цифровой подписи, хранящейся в расширенных атрибутах файла.
Эх все хотят сделать свой велосипед и Sumsung тоже туда.
LKRG: https://www.openwall.com/lkrg/ тоже это затевают.
И только PAX с GrSecurity следуют правильным путем UNIX - "простота и совершенство". Надо просто для начала использовать старую добру модель DAC: запрещать выделять память в режиме исполнения и изменения одновременно, где несполняемые данные не изменяются выделять в режиме только для чтения. Также применять YAMA для защиты процессов.
| | |
| 1.81, None (??), 13:24, 18/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
pid это отличная тема, даже если ты сам грепнешь вывод ps ax и найдёшь нужный процесс, никто не гарантирует, что к моменту, пока ты наберёшь следующую команду, под этим идентификатором не окажется уже совершенно другой процесс.
| | |
|
