Link alla notizia: http://www.hwupgrade.it/news/sistemi/17353.html

31 nuove falle nel sistema operativo della Apple mettono a serio rischio la sicurezza del computer. Alcune falle in QuickTime minacciano anche Windows.

Click sul link per visualizzare la notizia.

E' un bene che siano stati scoperti, purche' vengono sistemati in fretta.

praticamente un bug al giorno per un intero mese, solo che 'sti furboni te li dicono tutti assieme nel momento in cui vengono risolti così la notizia fa' parlare di meno e viene subito archiviata...almeno microsoft te lo ricorda tutti i giorni:D

Non sono un esperto di programmazione, ma non è che il passaggio alla x86 ha reso più facile mordere la mela? Dopotutto è da vent'anni che hacker e cracker si esercitano su questa architettura...

Bahhhhhhh ma questo è prima o dopo l'ultimo Secure update (l'altro ieri)+ quello di Quicktime? Perché se scoprono in 2 gg tante falle così sono veramente bravi devo dire.
Ok, andate a leggere l'articolo di Zdnet. Poi leggete l'articolo tecnico di Apple. E' appunto cosa hanno corretto con l'ultimo update!!!!!!!!!!!!!
Le hanno corrette con l'ultimo update, non è che le hanno scoperte.

Non sono un esperto di programmazione, ma non è che il passaggio alla x86 ha reso più facile mordere la mela? Dopotutto è da vent'anni che hacker e cracker si esercitano su questa architettura...
Stai certo che non dipende dall'architettura del processore, per un programmatore scrivere codice "maligno" per x86 o PPC non cambia nulla, è il compilatore che lo traduce in linguaggio macchina. Diverso se affermi che il passaggio ad Intel ha dato ad Apple una visibilità ed una diffusione mai avuto nel passato recente, cosa che comunque porta un certo numero di hacker alla ricerca di bug!

no no i problemi di sicurezza sono sempre quasi esclusivamente software.

come mai la notizia è sbucata solo ora che 2 giorni fa c'era già l'aggiornamento software per fixare questi problemi? :mbe:

Ecco adesso ke l'apple sta avendo piu visibilità si accorge di avere tutti sti bug, cosi la finiranno di dire ke apple è piu sicuro. Ma x favore...

Mi verrebbe da quotare "colabrodo", un commento di un Mac-user ad una notizia simile che riguardava Windows. :asd:

Non c'è niente di sicuro al 100%. Chi programma, e soprattutto chi programma applicazioni che interagiscono con socket e reti in generale, lo sa benissimo.
Si può parlare quanto se ne vuole riguardo le vulnerabilità di Windows, di Mac OS, o di tutti gli applicativi del mondo, ma il discorso non cambia: più il software è diffuso, più sarà scandagliato da hacker alla ricerca di vulnerabilità, che sono peraltro molto più subdole e difficili da scovare dei bug.

Bahhhhhhh ma questo è prima o dopo l'ultimo Secure update (l'altro ieri)+ quello di Quicktime? Perché se scoprono in 2 gg tante falle così sono veramente bravi devo dire.
Ok, andate a leggere l'articolo di Zdnet. Poi leggete l'articolo tecnico di Apple. E' appunto cosa hanno corretto con l'ultimo update!!!!!!!!!!!!!
Le hanno corrette con l'ultimo update, non è che le hanno scoperte.

Ma prima di correggerle, le avranno trovate, o no? Certo poi hanno voluto dirlo dopo averle corrette per fare i mitici :D .

Ecco adesso ke l'apple sta avendo piu visibilità si accorge di avere tutti sti bug, cosi la finiranno di dire ke apple è piu sicuro. Ma x favore...
in informatica dire (e credere) che qualcosa sia "sicuro" è da ignoranti e sprovveduti

un altro discorso è dire che qualcosa è PIU' SICURO di qualcos'altro, e qui Paolos82 basta conoscere un pochino la materia per farsi un'idea senza fare commenti qualunquisti

se volete avviare un discorso serio, cominciate a parlare di FATTI, non per sentito dire o per preferenze o tifosità , altrimenti diciamo subito che vogliamo fare i fanboy e cominciare a parlare a vanvera ogni volta che si parla di sicurezza e chiudiamo subito la discussione.

Ma prima di correggerle, le avranno trovate, o no? Certo poi hanno voluto dirlo dopo averle corrette per fare i mitici :D .
Tutti quelli che si occupano di sicurezza e hanno un minimo di cervello se sanno di una vulnerabilita' del proprio software se la tengono ben stretta fino a che non esce l'aggiornamento!

Poi c'e' qualche scemo che vuol fare lui il mitico e dire al mondo intero che ha scoperto una vulnerabilita', mettendo in seria difficolta' gli utenti di quel software, nonche' la software house.

Mi verrebbe da quotare "colabrodo", un commento di un Mac-user ad una notizia simile che riguardava Windows. :asd:
chi e' sprovveduto appena sente notizia di una vulnerabilita' parla di scandalo e di colabrodo, noi tutti altri sappiamo benissimo che in MS il problema non sono i bug, ma la velocita' di risoluzione.

Apple e' riuscita a tenere tutto segreto... MS ci riesce poco, forse anche perche' insulta tutti quelli che la informano di vulnerabilita' nel suo software e dopo un po' la gente si stufa!

Poi c'e' qualche scemo che vuol fare lui il mitico e dire al mondo intero che ha scoperto una vulnerabilita', mettendo in seria difficolta' gli utenti di quel software, nonche' la software house.

Quindi è quello che avviene con MS... interessante quindi, quelli di Secunia sarebbero scemi?

Al di là del fatto che nessun software è sicuro al 100%, quale parte di "Apple ha tuttavia messo a disposizione le patch, scaricabili attraverso il Sopftware Update o attraverso il sito web della Apple" non capite??

Ma prima di correggerle, le avranno trovate, o no? Certo poi hanno voluto dirlo dopo averle corrette per fare i mitici
Si, ma chi le ha trovate? E sopratutto, quando?? Non avendo sentito nulla finora, vuol dire che sono state trovate da Apple stessa, o cmq persone vicine, perchè se fossero state trovate prima da società di analisi, ti pare che non l'avrebbero spiattellato?

Questo è fanatismo, ma qui avete tutti 16 anni? Ragionate sulle cose prima di partire a razzo.

Ecco adesso ke l'apple sta avendo piu visibilità si accorge di avere tutti sti bug, cosi la finiranno di dire ke apple è piu sicuro. Ma x favore...
apple monta un kernel unix ed e' + sicuro per una serie di accorgimenti architetturali e se vuoi impostazioni di default del SO.
Questo e' oggettivamente vero, che tu voglia o meno crederci.

Poi per tutti esistono le vulnerabilita', PER TUTTI, e l'intelligenza sta nel tenere nascosto tutto fino alla patch, patch che comunque non deve tardare troppo.

MS non riesce bene ne' nel tenere sempre segrete le notizie ne' nell'essere celere a patchare.
Questa e' la differenza, che vi piaccia o meno.

Quindi è quello che avviene con MS... interessante quindi, quelli di Secunia sarebbero scemi?
Se tu conoscessi un minimo Secunia sapresti che se una vulnerabilita' e' "protetta" non la visualizzano finche' non diventa pubblica.

Credi che tutte le vulnerabilita' di firefox 1.5.0.2 non le conoscesse Secunia fino alla patch? Illuso.
Le ha tenute nascoste perche' mozilla e' riuscita a non pubblicizzarle.

Secunia e' una societa' seria, tutto quello che vedi li' e' gia' stato reso pubblico!

Questo è fanatismo, ma qui avete tutti 16 anni? Ragionate sulle cose prima di partire a razzo.
per questo ormai non posto più nelle news: è diventato impossibile avviare discussioni serie

MS non riesce bene ne' nel tenere sempre segrete le notizie ne' nell'essere celere a patchare.
Questa e' la differenza, che vi piaccia o meno.

Diciamo anche che statisticamente parlando riscontrare le vulnerabilità su MS è più semplice che su OSX.

Tralasciando il kernel unix e bla bla, il problema non è tenere o meno nascoste le falle: il problema è correggerle in fretta. Questo distingue una software house da un'altra. Se viene scoperta una patch e corretta dopo 6 mesi, è chiaro che qualcosa non va.
Se la patch, oltre a non essere scoperta da società esterne, viene corretta il prima possibile, è palese che l'interesse verso questo tipo di problemi è maggiore.

Tralasciando il kernel unix e bla bla, il problema non è tenere o meno nascoste le falle: il problema è correggerle in fretta. Questo distingue una software house da un'altra. Se viene scoperta una patch e corretta dopo 6 mesi, è chiaro che qualcosa non va.
Se la patch, oltre a non essere scoperta da società esterne, viene corretta il prima possibile, è palese che l'interesse verso questo tipo di problemi è maggiore.

E tralaltro più tempo passa dalla scoperta alla correzione, più tempo si lascia agli hacker, ma soprattutto ai cracker, per sperimentare con la falla in questione, con probabile proliferazione di worm e virus che la sfruttano.

Al di là del fatto che nessun software è sicuro al 100%, quale parte di "Apple ha tuttavia messo a disposizione le patch, scaricabili attraverso il Sopftware Update o attraverso il sito web della Apple" non capite??

l'ho capito tranquillo, so ancora leggere le news. E infatti sono contento che abbiano gia' distribuito le patch.


Si, ma chi le ha trovate? E sopratutto, quando?? Non avendo sentito nulla finora, vuol dire che sono state trovate da Apple stessa, o cmq persone vicine, perchè se fossero state trovate prima da società di analisi, ti pare che non l'avrebbero spiattellato?

E' probabile che siano state trovate da Apple stessa, come dici te, ma a leggere la new, sembra che sia stato il FrSirt che ne ha dato notizia. Ma questo poi che c'entra? Per me e' importante solo che siano state tappate, come ho scritto nel mio primo post.


Questo è fanatismo, ma qui avete tutti 16 anni? Ragionate sulle cose prima di partire a razzo.

Ma quale fanatismo? :confused: , io, ripeto, ho solo detto che l'importante e' tappare le falle, perche' tanto queste esistono sempre (anche se qualcuno dice il contrario di alcuni software :D ) e prima o poi si trovano.

Infine, non ho 16 anni, ma quasi il doppio ;) e non sono un fan ne' di apple, ne di ms (tanto per chiarire)

Hacker? Almeno nei siti specializzati evitiamo di stravolgere il significato delle parole legate al mondo dell'informatica. Si deve usare il termine Cracker in questi casi.

Per la news, le vulnerabilità come disse Fek tempo fa ci sono anche in un qualsiasi Hello World. 30 vulnerabilità in un codice che conta miliaia di righe di codice non mi sembrano nulla di eclatante. Inoltre il discorso visibilità non è casuale. Pensate veramente che moduli e Kernel Linux o BSD (e derivati) siano privi di Bug? C'e' ne saranno a bizzeffe, ma finchè qualcuno non li cerca...

Aggiungete al cuore del sistema operativo gli applicativi di base e avrete milioni di righe di codice potenzialmente errate... aggiungete applicativi office e multimedia e ne avrete altrettante... fate lavorare i vari programmi assieme e i punti critici e potenzialmente dannosi aumenteranno esponenzialmente...

L'importante è risolvere i bug una volta scovati, tanti o pochi che siano, il resto sono chiacchiere.

Tralasciando il kernel unix e bla bla, il problema non è tenere o meno nascoste le falle: il problema è correggerle in fretta. Questo distingue una software house da un'altra. Se viene scoperta una patch e corretta dopo 6 mesi, è chiaro che qualcosa non va.
Se la patch, oltre a non essere scoperta da società esterne, viene corretta il prima possibile, è palese che l'interesse verso questo tipo di problemi è maggiore.

E' questo quello che conta! Bravo ;)

<CUT>

L'importante è risolvere i bug una volta scovati, tanti o pochi che siano, il resto sono chiacchiere.

Stiamo tutti dicendo la stessa cosa, e nonostante questo riusciamo quasi a criticarci l'un l' altro :D

Anche Windows 2000 - XP - 2003 Server sono basati su kernel unix (NT derivato da UNIX) non si nota la differenza dal 95 - 98 - ME?

Tralasciando il kernel unix e bla bla, il problema non è tenere o meno nascoste le falle: il problema è correggerle in fretta. Questo distingue una software house da un'altra. Se viene scoperta una patch e corretta dopo 6 mesi, è chiaro che qualcosa non va.
Se la patch, oltre a non essere scoperta da società esterne, viene corretta il prima possibile, è palese che l'interesse verso questo tipo di problemi è maggiore.
no, e' importantissimo anche il tenere segreta la falla, questo ti da' qualche giorno in + di importantissimo testing che ti tocca di accelerare nel caso la falla sia gia' pubblica.
E' gia' successo che una patch frettolosa porta ad altri bug, in Firefox e' gia' successo.

Che poi MS ci metta del tempo anche quando le falle sono pubbliche... beh... si sa :rolleyes:

Anche Windows 2000 - XP - 2003 Server sono basati su kernel unix (NT derivato da UNIX) non si nota la differenza dal 95 - 98 - ME?
NT derivato da Unix???? Hai voglia di scherzare vero?

Anche Windows 2000 - XP - 2003 Server sono basati su kernel unix (NT derivato da UNIX) non si nota la differenza dal 95 - 98 - ME?
non sono basati su kernel unix, ma ne sono lontani derivati

cmq un sistema anche basato su unix se non viene ben progettato e supportato non è che diventa sicuro "solo perchè è lontano parente di unix"

Diciamo anche che statisticamente parlando riscontrare le vulnerabilità su MS è più semplice che su OSX.
E da cosa lo deduci scusa?

NT derivato da Unix???? Hai voglia di scherzare vero?
NT è nato "scopiazzando" parecchi concetti di unix, e tecnicamente era nato come successore per OS/2 di ibm... cmq sarebbe come dire che un'auto è parente di un carrello della spesa solo perchè entrambi hanno 4 ruote


http://it.wikipedia.org/wiki/Windows_NT

NT è nato "scopiazzando" parecchi concetti di unix, cmq sarebbe come dire che un'auto è parente di un carrello della spesa solo perchè entrambi hanno 4 ruote


http://it.wikipedia.org/wiki/Windows_NT
si ma dire che e' un derivato ce ne vuole...

Salve a tutti
mi è venuto una curiosità leggendo i vostri post, mi sembra che per la maggior parte delle persone la cosa piu normale sia dire che:

1 una società trova un bug di sicurezza e lo comunica privatamente alla ditta che ha sviluppato il software

2 il bug non viene mai ne comunicato in maniera pubblica per non creare problemi di sicurezza non essendo ancora stata creata una patch

3 la patch viene pubblicata insieme a un bollettino che dichiara quali problemi creava e come sono stati risolti (e se eventualmente la soluzione puo creare altri problemi collegati)

4 gli utenti scaricano la patch in un tempo consono e tutto è risolto

le cosa ai giorni d'oggi non vanno sempre cosi ma purtroppo accadono cose completamente diverse come questa.

tutti i punti dal 1 al 3 piu

4 la maggior parte degli utenti non scaricano la patch in un tempo consono o aditrittura non la scaricano mai.

quello di grave che accade e che gli hacker prendono la patch ne fanno un analisi in reverse engineering , scoprono grazie a questo tutto quello che gli serve per creare un worm,virus ecc

quindi in molti casi reali se la MS ma come altre aziende non avessero risolto dei bug nei loro software molti attacchi non sarebbero mai stati eseguiti o sarebbe stato molto piu improbabile che questo sia capitato.

Avete presente quando un 4 anni fa mezzi SQL server della MS si sono bloccati al mondo, il worm responsabile lo "SQL Slammer" era stato creato solo dopo 6 mesi che la ms aveva fatto la patch e NESSUNO al mondo la aveva scaricata. Il bello è che quello che lo aveva creato lo aveva fatto solo perche in 5 minuti confrontando i file binari della patch di sicurezza con quelli non patchati avave visto il punto esatto di dove il sistema avava un bug.

Questa procedura di reverse engineering anni fa occupava giorni o mesi di tempo rendendo questa pratica molto poco pratica, ma oggi con i pc moderni è molto piu facile per trovare un bug aspettare semplicemente che una patch venga rilasciata, gli ultimi report di sicurezza parla non di un tempo mendio per scoprire le falle tramite le patch di meno di 4 giorni è per questo che le patch andrebber oinstallate subito anche se possono creare qualche minimo problema in qualche altro componente di sistema ,meglio aspettare una revisione della patch con il sistema già patchato che buggato.

IMHO le patch si sicurezza andrebbero gestite in maniera molto meno pubblica.

quindi in molti casi reali se la MS ma come altre aziende non avessero risolto dei bug nei loro software molti attacchi non sarebbero mai stati eseguiti o sarebbe stato molto piu improbabile che questo sia capitato.

Quindi cosa facciamo non patchiamo? Ma per favore...
E poi non e' assolutamente come dici tu, i cracker che ne sanno non hanno bisogno di alcun aiuto, i meno bravi hanno bisogno di qualche esempietto che spesso viene fuori quando scoprono una falla e la rendono pubblica.
Niente reverse engineering della patch!

Avete presente quando un 4 anni fa mezzi SQL server della MS si sono bloccati al mondo, il worm responsabile lo "SQL Slammer" era stato creato solo dopo 6 mesi che la ms aveva fatto la patch e NESSUNO al mondo la aveva scaricata. Il bello è che quello che lo aveva creato lo aveva fatto solo perche in 5 minuti confrontando i file binari della patch di sicurezza con quelli non patchati avave visto il punto esatto di dove il sistema avava un bug.

No c'erano degli esempi in giro perche' la falla e' stata resa pubblica, se poi c'e' qualche deficiente che di mestiere gestisce dei server senza aggiornarli e dovrebbe vendere le banane non e' colpa di nessuno.

Ovviamente non sto dicendo di non fare le patch, ma andrebbero gestite in maniera molto meno pubblica.
Se uno non applica le patch affar suo.
Il modo di farle applicare in automatico c'e'... se la gente lo disabilita pure ben gli sta'!

Quindi cosa facciamo non patchiamo? Ma per favore...

Niente reverse engineering della patch!



le patch vanno fatte con criterio un po come le patch per i bug nei software, ci sono centinaia di bug che non vengono risolti perche con molta probailità creerebbero molti problemi e quindi vengono tralasciati a meno che non diventino di primaria importanza.

questo del reverse engineering secondo la MS è il sistema primario utilizzato dalla comunità degli cracker, lo hanno detto e ripetuito anche negli ultimi incontri Technet in giro per l'italia

questo del reverse engineering secondo la MS è il sistema primario utilizzato dalla comunità degli cracker, lo hanno detto e ripetuito anche negli ultimi incontri Technet in giro per l'italia
e io ti assicuro che molte volte ci sono gia' gli esempi belli e pronti, altro che reverse engineering.

E poi ribadisco:
se c'e' qualche pazzo che crede ancora di tenere un server in rete non aggiornato, beh merita che gli entri di tutto.

Come vogliasi dimostrare non esiste software esente da bug, nemmeno i rinomati s.o. della Apple, se non in testa a qualche fanboy.

Come vogliasi dimostrare non esiste software esente da bug, nemmeno i rinomati s.o. della Apple, se non in testa a qualche fanboy.

Questi comunque non sono bug.

Come vogliasi dimostrare non esiste software esente da bug, nemmeno i rinomati s.o. della Apple, se non in testa a qualche fanboy.
chiunque abbia mai sostenuto che al mondo esiste software senza bug è ignorante e sprovveduto, quindi direi che non c'era proprio niente da dimostrare, è la scoperta dell'acqua calda

Questi comunque non sono bug.
e cosa sono? Brustolini? :D

:gluglu: Anche Windows 2000 - XP - 2003 Server sono basati su kernel unix (NT derivato da UNIX) non si nota la differenza dal 95 - 98 - ME?

:asd: :asd: :asd: :asd: :asd: :asd: :asd: :asd: :asd: :asd: :asd: :asd: :gluglu:

Ma che articolo è? Apple da sempre rilascia security update che aggiornano componenti del sistema correggono vulnerabilità ecc ogni prodotto sw ha errori vulnerabilità ecc è normale correggere le cose periodicamente, queste falle le ha scoperte apple e le ha corrette di sequenza, fa parte del normale ciclo di vita di un prodotto sw...

Le falle cmq non sono 31, ma 43. Le 12 mancanti sono tutti di QuickTime (e poi qualcuno si lamenta di WMP...).

http://www.osnews.com/comment.php?news_id=14602


E, per chi ora comincia a difendersi con la scusa "tanto li risolvono in fretta", su Securnia vedo 2 falle di iTunes e 1 di Quicktime dello scorso anno non ancora sistemate.

Le falle cmq non sono 31, ma 43. Le 12 mancanti sono tutti di QuickTime (e poi qualcuno si lamenta di WMP...).

http://www.osnews.com/comment.php?news_id=14602


E, per chi ora comincia a difendersi con la scusa "tanto li risolvono in fretta", su Securnia vedo 2 falle di iTunes e 1 di Quicktime dello scorso anno non ancora sistemate.

ben 3...pensa che per Internet Explorer sono più di 10 lì dal 2003...


vedo la pagliuzza ma non vedo la trave...

Come vogliasi dimostrare non esiste software esente da bug, nemmeno i rinomati s.o. della Apple, se non in testa a qualche fanboy.

non sono bug e non esiste un sistema a priori a prova di falla....


comunque se si devono scrivere delle banalità per forza si può anche evitare di premere il tasto invia eh...

e cosa sono? Brustolini? :D

sono delle vulnerabilità...


ma non studiavi informatica o mi sbaglio io? :)

per questo ormai non posto più nelle news: è diventato impossibile avviare discussioni serie

molto d'accordo con te...almeno finchè i soliti noti non verranno "debellati" o si autosospenderanno...

sono delle vulnerabilità...


ma non studiavi informatica o mi sbaglio io? :)
le vulnerabilita' sono bug ;)
Mancati controlli di alcune variabili che possono andare oltre il limite min/max voluto dal programmatore.
[esempio non esaustivo di vulnerabilita']

Tutti i miei professori li chiamano bug questi, tu non lo so.

le vulnerabilita' sono bug ;)
Mancati controlli di alcune variabili che possono andare oltre il limite min/max voluto dal programmatore.
[esempio non esaustivo di vulnerabilita']


no, la vulnerabilità (flaw) può essere causata da un bug.


Tutti i miei professori li chiamano bug questi, tu non lo so.

i professori lasciamoli stare...il fatto di possedere un titolo non li esenta certo dallo sbagliare terminologia; cosa per altro che nel mondo accademico italiano, considerato il vecchiume dei programmi ( ci sono corsi di architettura degli elaboratori dove ancora oggi si fà fatica ad arrivare al Pentium II) e la scarsa capacità e voglia di aggiornarsi di una parte del corpo docente, non accade così di rado.

no, la vulnerabilità (flaw) può essere causata da un bug.
la vulnerabilita' e' un punto nel codice dove una persona abbastanza esperta riesce a sfruttare una particolare circostanza e far fare al programma una cosa non voluta dal programmatore, per esempio eseguire codice arbitrario o causare un denial of service, io questo lo chiamo bug!

Tutto cio' che fuoriesce da quello che era il progetto iniziale del software io lo chiamo bug.

tu che definizione daresti scusa?

sono delle vulnerabilità...


ma non studiavi informatica o mi sbaglio io? :)

Le vulnerabilità, come ti ha detto qualcun altro, SONO bug.
Un bug può portare diverse conseguenze, non sempre catastrofiche:

1) Il programma funziona correttamente a livello di esecuzione ma si comporta diversamente da come dovrebbe comportarsi (ad esempio, un risultato sbagliato di un calcolo).
2) Il crash del programma stesso, dovuto a troppi fattori da riportare qui.
3) Il proseguio tranquillo dell'esecuzione ma con la conseguente apertura di una vulnerabilità (e anche qui i casi sono molteplici, perchè anche le vulnerabilità possibili sono molteplici).

Conclusione: Un bug non è detto che sia una vulnerabilità ma una vulnerabilità è certamente un bug.

Per definizione, un programma, nei vari requisiti, deve avere caratteristiche di "robustezza". Una vulnerabilità potrebbe essere conseguenza di una mancata robustezza in certi tipi di controlli all'interno del codice.
Una vulnerabilità quindi non è un errore sintattico (il codice è corretto) ma un errore semantico (un errore logico).

Spero di essere stato chiaro :)

come mai la notizia è sbucata solo ora che 2 giorni fa c'era già l'aggiornamento software per fixare questi problemi? :mbe:

Perchè se ogni giorno si dovessero pubblicare tutte le notizie che escono sul pianeta, oltre ad avere un esercito anzichè una redazione, bisognerebbe avere dei data center anzichè un forum ;)

e cosa sono? Brustolini? :D

I problemi di vulnerabilità e sicurezza non sono dovuti a bug nel senso stretto. Magari il software funziona senza problemi nell'uso comune, ma quando si va' a "forzare" uno specifico modulo con operazioni non convenzionali, si ha un comportamento anomalo.

L'esempio classico è il modo per scoprire il sistema operativo "agendo" sui flag dei pacchetti IP usato dal tool nmap, infatti ogni implementazione di tcp/ip risponde in modo diverso ad un pacchetto "malformato" che ha dei flag non validi. Tu in questo caso parleresti di bug, oppure di vulnerabilità dovuto all'implementazione? :read:

I problemi di vulnerabilità e sicurezza non sono dovuti a bug nel senso stretto. Magari il software funziona senza problemi nell'uso comune, ma quando si va' a "forzare" uno specifico modulo con operazioni non convenzionali, si ha un comportamento anomalo.

no ragazzi non ci siamo, se non avete idea di cosa sia un bug e di cosa ci rientra nella definizione lasciate stare.

Un bug e' tutto cio' che l'applicazione FA e NON dovrebbe fare o cmq non era progettata per fare.
Questo puo' andare da un crash ad un bottone non funzionante in una GUI ad un buffer overflow che causa una vulnerabilita' dall'esterno.

Se uno fa un software che fa x+y=z con x e y immessi dall'utente e io in x ci metto "ciaobello" e il programma va' in crash e' un bug perche' e' un mancato controllo di quello che ci piazzo dentro in x e y (ammettendo che siano campi text).
Stessa cosa sono i bug dove mancano i controlli di min e max su una variabile o su qualcos'altro.

SONO TUTTI BUG!
Ovviamente con diverse cause e diversi effetti, ma pur sempre bug.


Non e' che un bug non e' tale solo perche' l'utente apparentemente non vede il malfunzionamento... :mc:


L'esempio classico è il modo per scoprire il sistema operativo "agendo" sui flag dei pacchetti IP usato dal tool nmap, infatti ogni implementazione di tcp/ip risponde in modo diverso ad un pacchetto "malformato" che ha dei flag non validi. Tu in questo caso parleresti di bug, oppure di vulnerabilità dovuto all'implementazione? :read:
Infatti il bravo programmatore si deve domandare:
"Cosa faccio in presenza di pacchetti IP malformati?"
- li scarto
- cerco di recuperarli
- altro

di certo non ci deve essere tra le opzioni
- eseguo codice arbitrario

se questo avviene siamo di fronte ad una vulnerabilita' o bug.

no ragazzi non ci siamo, se non avete idea di cosa sia un bug e di cosa ci rientra nella definizione lasciate stare.

Un bug e' tutto cio' che l'applicazione FA e NON dovrebbe fare o cmq non era progettata per fare.
Questo puo' andare da un crash ad un bottone non funzionante in una GUI ad un buffer overflow che causa una vulnerabilita' dall'esterno.

Se uno fa un software che fa x+y=z con x e y immessi dall'utente e io in x ci metto "ciaobello" e il programma va' in crash e' un bug perche' e' un mancato controllo di quello che ci piazzo dentro in x e y (ammettendo che siano campi text).
Stessa cosa sono i bug dove mancano i controlli di min e max su una variabile o su qualcos'altro.


Secondo me per definizione sono due cose diverse.

Un bug di programmazione classico comporta in output un risultato diverso da quello preventivano, ottenuto dall'esecuzione del codice scritto in modo errato.

Una vulnerabilità prevede che ci sia un attaccante attivo, una persona fisica o chi per lui, dall'altro lato che forza il codice, cosa che ovviamente non esiste nel caso di un bug.

Secondo me per definizione sono due cose diverse.


Il problema è appunto la frase "secondo me". Cosa è un bug e cosa non lo è fa parte della definizione classica, che non ci si è di certo inventati in base a considerazioni personali. Un bug è un errore del codice (sintatticamente corretto ma semanticamente sbagliato) o un errore logico (mancata implementazione di controlli che rendono robusto il codice a input non previsti). Tutto il resto è aria.


Un bug di programmazione classico comporta in output un risultato diverso da quello preventivano, ottenuto dall'esecuzione del codice scritto in modo errato.

Una vulnerabilità prevede che ci sia un attaccante attivo, una persona fisica o chi per lui, dall'altro lato che forza il codice, cosa che ovviamente non esiste nel caso di un bug.

Il codice non si forza come una serratura. Se il codice è forzabile, significa che si sfrutta un errore di programmazione. Un bug, appunto. Un bug che non causa crash ma apre delle "strade" di esecuzione di codice malevolo. Un tipo di bug che si chiama vulnerabilità.

Tutte le vulnerabilità sono bug, non tutti i bug sono vulnerabilità.

Se il cobra e la vipera sono rettili, il crash e la vulnerabilità sono bug. Mi sembra un concetto cosi elementare :p

http://en.wikipedia.org/wiki/Vulnerability_%28computer_science%29

in particolare:

"Vulnerabilities may result from bugs or design flaws in the system."

con cui dovrebbe essere chiaro l'esempio dei flag sullo stack tcp/ip che ho riportato in precedenza, che non è un bug.

http://en.wikipedia.org/wiki/Vulnerability_%28computer_science%29

in particolare:

"Vulnerabilities may result from bugs or design flaws in the system."

con cui dovrebbe essere chiaro l'esempio dei flag sullo stack tcp/ip che ho riportato in precedenza, che non è un bug.

Quindi? Non implica forse che è comunque un bug? :mad:

Scusa, ma perché dovrebbe essere un bug?

Ogni sistema operativo risponde in modo diverso a causa dell'implementazione differente, e questa è una falla di design, per citare wikipedia, del protocollo ip in generale.

http://en.wikipedia.org/wiki/Vulnerability_%28computer_science%29

in particolare:

"Vulnerabilities may result from bugs or design flaws in the system."

con cui dovrebbe essere chiaro l'esempio dei flag sullo stack tcp/ip che ho riportato in precedenza, che non è un bug.
:eek:
...ma xkè secondo te un design flaw non è un bug???
cos'è una feature???
(come direbbe il mitico giovanni :asd: )
Tanto x farti un esempio terra terra...
ce l'hai presente il famosissimo millenium BUG??
ebbene..quello secondo te da cosa è generato da un errore di programmazione o di progettazione (design flaw)?

Al di là dei Bug ecc ecc, pare che inizino i problemi di popolarità per MacOS? :D :D :D

Secondo me per definizione sono due cose diverse.

non commento oltre perche' ho gia' trovato l'inghippo.
Non si tratta di parlare di opinioni, ma di fatti.

Una vulnerabilita' e' un bug!
Secondo il tuo ragionamento anche l'utente che sbaglia input mettendo delle cavolate dentro ad un programma che poi va' in crash non e' un bug, ma una "forzatura"

Certo che siete forti a calcare su quel "secondo me". Uno non può avere opinioni? E poi non capisco perché accanirsi in questo modo invece di fare uno sforzo mentale per comprendere un punto di vista diverso.

IMO sono due cose diverse perché hanno alcune caratteristiche che li rendono differenti: un bug è un errore di programmazione, una vulnerabilità è causata da un bug o da un errore di progettazione e non capisco perché ci si ostini a dire che un errore di progettazione è un bug :muro:

Il millenium bug lasciamolo nelle braccia dei mass media che l'hanno coniato, visto che non sanno nemmeno la differenza fra hacker e cracker.

Certo che siete forti a calcare su quel "secondo me". Uno non può avere opinioni? E poi non capisco perché accanirsi in questo modo invece di fare uno sforzo mentale per comprendere un punto di vista diverso.

IMO sono due cose diverse perché hanno alcune caratteristiche che li rendono differenti: un bug è un errore di programmazione, una vulnerabilità è causata da un bug o da un errore di progettazione e non capisco perché ci si ostini a dire che un errore di progettazione è un bug :muro:

Il millenium bug lasciamolo nelle braccia dei mass media che l'hanno coniato, visto che non sanno nemmeno la differenza fra hacker e cracker.
perche' il problema e' che tu dai una definizione ristretta di bug, ma che non e' tale nella realta'.
Se vuoi possiamo andare avanti millenni, ma non e' quella giusta!
Tutto cio' che il programma fa al di fuori di quello che e' stato progettato per fare e' un bug, ma l'ho gia' detto mille volte quindi...

Scusa, ma perché dovrebbe essere un bug?

Ogni sistema operativo risponde in modo diverso a causa dell'implementazione differente, e questa è una falla di design, per citare wikipedia, del protocollo ip in generale.
infatti ogni sistema operativo ha i suoi bug.
falla=bug

Al di là dei Bug ecc ecc, pare che inizino i problemi di popolarità per MacOS? :D :D :D

Non so perchè abbiano deciso di pubblicare questa notizia proprio adesso, ma questi aggiornamenti di sicurezza Apple li rilascia costantemente e periodicamente da almeno 6 anni (quando è uscito osx, per non considerare il classic), di novità non c'è nulla di bug o come li volete chiamare su un so così complesso ce ne saranno sempre ed è normale che periodicamente vengano introdotte correzioni e miglioramenti.

Non so perchè abbiano deciso di pubblicare questa notizia proprio adesso, ma questi aggiornamenti di sicurezza Apple li rilascia costantemente e periodicamente da almeno 6 anni (quando è uscito osx, per non considerare il classic), di novità non c'è nulla di bug o come li volete chiamare su un so così complesso ce ne saranno sempre ed è normale che periodicamente vengano introdotte correzioni e miglioramenti.


Sono daccordo, di problemi ce ne saranno sempre e per tutti. ;)
Mi danno però fastidio quelli che parlano di superiorità di un certo sistema su un altro e poi quando ovvii problemi vengono a galla si scagliano per affermare il contrario o per rigirare la frittata a proprio piacimento.

Sono daccordo, di problemi ce ne saranno sempre e per tutti. ;)
Mi danno però fastidio quelli che parlano di superiorità di un certo sistema su un altro e poi quando ovvii problemi vengono a galla si scagliano per affermare il contrario o per rigirare la frittata a proprio piacimento.


Vero, ma è anche vero che come Apple rilascia un aggiornamento di sicurezza o quando esce un finto virus, subito c'è qualcuno pronto a dire che allora anche osx è un sistema pieno di falle è che la sua superiorità su altri sistemi è falsa. Sarà anche pieno di falle, ma il dato di fatto è che per ora il problema virus, spyware ecc per i mac è un non problema, e noi ce la godiamo a differenza di altri :D (finchè dura :ciapet: ).
Poi certamente i vantaggi di osx su altri sistemi non sono solo sulla sicurezza, ma in molti e ben altri fattori (ovviamente questo è il punto di vista di chi ha scelto osx rispetto ad altri sistemi operativi e soluzioni hw, nulla vieta di vederla diversamente)

Vero, ma è anche vero che come Apple rilascia un aggiornamento di sicurezza o quando esce un finto virus, subito c'è qualcuno pronto a dire che allora anche osx è un sistema pieno di falle è che la sua superiorità su altri sistemi è falsa.

Accade di peggio per Windows.