LINUX.ORG.RU
ФорумTalks

Отечественные эксперты: opensource - решето!

 ,


0

3

Пять из десяти популярных приложений с открытым кодом включают критические уязвимости, выяснили в «Ростелеком-Солар». Те же уязвимости могут содержаться и в отечественном пользовательском софте, предполагают эксперты

Несколько наиболее популярных компьютерных программ, созданных при помощи открытого кода (open source — программы, чей код доступен для изучения, просмотра и даже изменения; разработчики могут приспосабливать и заимствовать код для создания новой программы) содержат уязвимости, которые злоумышленники могут использовать для получения доступа к личным данным пользователей. К такому выводу пришли аналитики компании в сфере кибербезопасности «Ростелеком-Солар» в своем исследовании (есть у РБК).

Критические уязвимости — пустые ключи шифрования, пустые пароли или конфиденциальные данные, размещенные в самом исходном коде, «Ростенлеком-Солар» обнаружил в пяти из десяти проанализированных программ: Krita, Search Everything, Libre Office, Brave Browser и RetroArch. Эти уязвимости могут облегчить злоумышленникам доступ к конфиденциальным данным, хранящимся на компьютере пользователя в незашифрованном виде.

Наиболее слабые результаты показал эмулятор видеоигр RetroArch (0,8 балла из пяти возможных), у программы больше всего критических уязвимостей — 24.

«Неожиданно слабыми» авторы исследования назвали результаты браузера с открытым кодом Brave Browser, созданного соучредителем компании Mozilla Project и создателем JavaScript Бренданом Эйхом.

Первоисточник

★★★★★

А если ещё программы с закрытым исходным кодом проанализировать, то вообще только повеситься останется.

Alden ★★★★
()
Ответ на: комментарий от Alden

А если ещё программы с закрытым исходным кодом проанализировать, то вообще только повеситься останется.

Дык никак, он же закрыт.

Zhbert ★★★★★
()

возьми да исправь, какие проблемы?

или они считают что им должны, а open source значит бесплатно?

орки с понятиями, лять.

Spoofing ★★★★★
()
Ответ на: комментарий от XoFfiCEr

Можно подумать Zhbert что ты никогда крякнутую винду не использовал.

И как ты посмотришь в код крякнутой винды?

Zhbert ★★★★★
()
Ответ на: комментарий от Spoofing

они считают что им должны, а open source значит бесплатно

Да.

Zhbert ★★★★★
()
Ответ на: комментарий от Shulman

Пишут, что зарепортили хотя бы.

По словам представителя компании, ее технические специалисты направили результаты исследования в сообщество пользователей и разработчиков открытого ПО.

Zubok ★★★★★
()
Ответ на: комментарий от Zhbert

да никак меня стошнит от него, я же иносказательно, говорят на рутрекере выложили исходный код винды какие то фрагменты, можешь смотреть сколько угодно.

XoFfiCEr ★★☆☆
()
Ответ на: комментарий от Zubok

Пишут, что зарепортили хотя бы.

Интересно только кому. Чтобы только проверить, не врут ли.

Zubok ★★★★★
()
Ответ на: комментарий от takino

не чувствую вкусов и запахов, кроме слишком ярких, как апельсин (пожалуй, кроме апельсинов вообще ничего не чувствую).

кашель. сильная потливость. и быстрая утомляемость, пол дня похожу по дому и спать хочу. сильная одышка, до магазина дойду и задыхаюсь, воздуха нехватает.

в остальном чувствую себя нормально. домашние дела могу поделать. могу на улицу выйти, в маске, чтобы холодный воздух не хватать.

не знаю когда это всё пройдёт.

Spoofing ★★★★★
()

Блин. Хочу быть таким вот аналитегом в крупной компании: можно нести адовую херню (вроде того что я делаю на этом форуме каждый день) и ещё получать за это деньги.

DawnCaster ★★
()
Ответ на: комментарий от Spoofing

не знаю когда это всё пройдёт.

Нескоро, по крайней мере вспоминая свою пневмонию после гриппа лет пять назад. Повреждение легких штука крайне неприятная, а ещё хуже - это в холодную погоду подцепить ещё чего-нибудь легочное сразу после перенесенного короновируса. Я бы вообще крайне не рекомендовал сейчас перенапрягаться.

DawnCaster ★★
()

Krita, Search Everything, Libre Office, Brave Browser и RetroArch

ОЧЕНЬ странный набор софта, и никаких данных найденных уязвимостях. Надо сам отчет смотреть. Но сильно сомневаюсь, что там что-то интересное нашли.

CaveRat ★★
()
Ответ на: комментарий от Zhbert

Так в Opensource человек, который пишет, потенциально знает, что кто-то читать будет. А там, где люди знают, что никто никогда их код не увидит, обычно самый трэш по принципу «хоть как-то бы работало». По себе знаю :)

Alden ★★★★
()
Последнее исправление: Alden (всего исправлений: 1)
Ответ на: комментарий от Spoofing

Это самое важное. Мне вот сразу эксперт по компьютерной игре Дока-2 вспоминается!

Alden ★★★★
()

Совсем другое дело закрытый софт: security through obscurity. А самих уязвимостей там может ещё больше быть.

X512 ★★★★★
()

Никогда такого не было и вот опять, а в закрытом ПО нету дыр, т.к. исходников нет и поэтому код не видно. !

Int0l ★★
()

Наиболее слабые результаты показал эмулятор видеоигр RetroArch (0,8 балла из пяти возможных), у программы больше всего критических уязвимостей — 24.

Зачем им понадобился эмулятор видеоигр на машине с конфиденциальными данными?

X512 ★★★★★
()
Ответ на: комментарий от Spoofing

Хотел тебя сначала дурачком назвать, но потом задумался. Это, конечно, неправильно, я считаю, но не мне тебя судить.

Zhbert ★★★★★
()
Ответ на: комментарий от Zhbert

а что тут судить? если у тебя есть жена, которая может позаботиться о тебе на время болезни, то мне такая роскошь не позволительна. выживаю как могу.

Spoofing ★★★★★
()

Дима Казаков в чате изобразил фейспалм на заявление, что в крите есть «пустые ключи шифрования, пустые пароли или конфиденциальные данные».

Нет отчёта — нет фиксов.

Разработчикам о «критических уязвимостях» до публикации не сказали — моветон.

Фу такими быть.

AP ★★★★★
()
Ответ на: комментарий от AP

Разработчикам о «критических уязвимостях» до публикации не сказали — моветон.

Добро пожаловать в русское ИБ, бессмысленное и беспощадное.

CaveRat ★★
()
Ответ на: комментарий от AP

Багрепорты не у меня, а у пользователей виндовой версии. Две недели уговариваю их отправить логи разработчикам, ну или хотя бы показать их мне. Но виндовые пользователи говорят, что им проще csp pro на следующей распродаже купить, чем с опенсорцем пердолиться.

Khnazile ★★★★★
()

RetroArch

Более важную, кровеносную программу опенсорса найти сложно. И вообще, как-то же надо продавить необходимость возврата на винду.

ChekPuk ★★★
()
Ответ на: комментарий от Zhbert

Дык никак, он же закрыт.

Как будтно в закрытых никогда не находили узвимостей. Если уметь, можно и закрытые анализировать. Вот только лицензии обычно это прямо запрещают делать.

praseodim ★★★★★
()
Ответ на: комментарий от AP

Для десктопных программ вроде Krita, какие вообще могут быть уязвимости? На ум приходит только если баг из-за которого они исполнят код, внедренный в изображение. Емнип что-то такое уже однажды давно было. Но вряд ли сейчас.

praseodim ★★★★★
()
Ответ на: комментарий от praseodim

Там всё смешнее. Цитирую Диму:

В том-то и дело, что у нас паролей в принципе никаких нет. Ни на файлы, никуда. Единственное, к чему можно придраться, это к загружаемым пользователем скриптам на питоне. Ну и в теории можно придраться к шейдерам на seexpr.

Хоят в пересказе РБК декларируется:

Критические уязвимости — пустые ключи шифрования, пустые пароли или конфиденциальные данные, размещенные в самом исходном коде, «Ростелеком-Солар» обнаружил в пяти из десяти проанализированных программ: Krita, Search Everything, Libre Office, Brave Browser и RetroArch.

AP ★★★★★
()

А что это за мода посреди текста статьи пихать ссылки на другие статьи? Я пока читал чуть не блеванул.

BceM_IIpuBeT ★★☆☆☆
()
Последнее исправление: BceM_IIpuBeT (всего исправлений: 1)
Ответ на: комментарий от BceM_IIpuBeT

Я тоже не нашел. Походу какой-то наброс против Open Source.

praseodim ★★★★★
()
Ответ на: комментарий от Spoofing

так она тоже заразной будет в таком случае и ей тоже нельзя в магазин :)

Harald ★★★★★
()
Ответ на: комментарий от AP

надо в суд подать на пацанчега от имени гимпа, за ущерб деловой репутации

Harald ★★★★★
()
Ответ на: комментарий от AP

или конфиденциальные данные, размещенные в самом исходном коде,

Кстати, интересно что вот тут они имеют в виду. Как бы не оказалось, что такое на что нормальный человек и не подумает даже.

praseodim ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.