LINUX.ORG.RU

История изменений

Исправление alex0x08, (текущая версия) :

те баги, что привели к уязвимостям эксплуатируемым локально или удалённо не отменяют.

Локальные в 99% случаях можно игнорировать, везде же виртуалки и контейнеры, из которых так просто не вылезешь. Если даже дойдет до роботов и автоматических атак (лет так через пять после публикации) - такие атаки используют в коплексе, т.е должно быть еще что-то чтобы в систему для начала залезть.

А причина в большинстве случаев это либо buffer overrun, либо use-after-free.

Ну нет, это как раз высший пилотаж - повреждение памяти и возможность что-то вызвать. Большинство это все тот же XSS да SQL Injection, все как в 98м. Еще социальная инженерия вышла на запредельный уровень.

Благо начиная с 11 стандарта в std занесли smartpointers и они даже стали более-менее регулярно применяться.

Это актуально для новых разработок, старое просто так переписывать никто не даст. Да и сам можешь представить перевод и аудит какого-нибудь glibc на новый стандарт.

Баги в железе вываливаются за пределы разговора о языках программирования.

Дело в том что «железо» сейчас это не совсем то что под ним подразумевается, уж точно не слова Д.Ю.Медведева отлитые в кремнии. Есть прошивка, микрокод, где и была как эта знаменитая уязвимость так и исправление.

Исходная версия alex0x08, :

те баги, что привели к уязвимостям эксплуатируемым локально или удалённо не отменяют.

Локальные в 99% случаях игнорировать, везде же виртуалки и контейнеры, из которых так просто не вылезешь. Если даже дойдет до роботов и автоматических атак (лет так через пять после публикации) - такие атаки используют в коплексе, т.е должно быть еще что-то чтобы в систему для начала залезть.

А причина в большинстве случаев это либо buffer overrun, либо use-after-free.

Ну нет, это как раз высший пилотаж - повреждение памяти и возможность что-то вызвать. Большинство это все тот же XSS да SQL Injection, все как в 98м. Еще социальная инженерия вышла на запредельный уровень.

Благо начиная с 11 стандарта в std занесли smartpointers и они даже стали более-менее регулярно применяться.

Это актуально для новых разработок, старое просто так переписывать никто не даст. Да и сам можешь представить перевод и аудит какого-нибудь glibc на новый стандарт.

Баги в железе вываливаются за пределы разговора о языках программирования.

Дело в том что «железо» сейчас это не совсем то что под ним подразумевается, уж точно не слова Д.Ю.Медведева отлитые в кремнии. Есть прошивка, микрокод, где и была как эта знаменитая уязвимость так и исправление.