Link alla notizia: http://news.hwupgrade.it/13268.html

Scoperta una vulnerabilità nei player della RealNetworks che permette l'esecuzione da remoto di codice nocivo

Click sul link per visualizzare la notizia.

Visto che non sono solo i prodotti della Microsoft ad avere falle?
Addirittura questa mette a rischio i sistemi Linux!!!
;-)

Linux è gratis... o quasi.. M$ si paga.. caro.. molto caro.. e poi non c'entra niente.. è il real player che è bacato! ;)

Oltretutto su linux più che far crashare l'applicazione non succede niente.

Trovo il link e lo posto.

Se volessero farebbero diventere Linux peggio di una groviera in meno di 1 settimana.....

Solamente ora il nemico da "sconfiggere" è M$!!!!!

link della patch?

COMPLETAMENTE d'accordo con Max Power...ma vaglielo a spiegà...

Originariamente inviato da ImperatoreNeo
Linux è gratis... o quasi.. M$ si paga.. caro.. molto caro.. e poi non c'entra niente.. è il real player che è bacato! ;)

"Linux e' gratis per quelli il cui tempo non vale nulla" :)

Originariamente inviato da RaouL_BennetH
Oltretutto su linux più che far crashare l'applicazione non succede niente.

Bè insomma, se c'è un buffer overflow basta preparare uno shell code apposito (sarà ovviamente diverso da quello per windows) per far girare codice con i privilegi dell'utente che ha eseguito il player.
Non c'è da scherzare ;)

Originariamente inviato da Max Power
Se volessero farebbero diventere Linux peggio di una groviera in meno di 1 settimana.....
Sarebbe interessante da vedere (perche` nei dogmi, purtroppo, credo poco).
Aspettiamo fiduciosi.

Originariamente inviato da ilsensine
Bè insomma, se c'è un buffer overflow basta preparare uno shell code apposito (sarà ovviamente diverso da quello per windows) per far girare codice con i privilegi dell'utente che ha eseguito il player.
Non c'è da scherzare ;)

Infatti, per qualsiasi persona che come me comincia con linux, su tutte le guide, gli howto, i man, c'è scritto di non utilizzare mai l'utente root per scopi diversi da quelli dell'amministrazione. Pur ammettendo che il codice venga eseguito, verrebbe eseguito solo con i privilegi limitati dell'utente, o sbaglio?

Originariamente inviato da RaouL_BennetH
Pur ammettendo che il codice venga eseguito, verrebbe eseguito solo con i privilegi limitati dell'utente, o sbaglio?
Sì infatti: può cancellarti tutti i tuoi documenti, ma senza formattare l'adiacente partizione ntfs :D
Magra consolazione, forse sarebbe meglio il contrario :D

Originariamente inviato da fek
"Linux e' gratis per quelli il cui tempo non vale nulla" :)
vero ;)
infatti è libero e non gratis, e la libertà è una conquista che a volte che si paga a caro prezzo (vedi Braveheart)... ma sto andando OT ,
Originariamente inviato da ilsensine
Bè insomma, se c'è un buffer overflow basta preparare uno shell code apposito (sarà ovviamente diverso da quello per windows) per far girare codice con i privilegi dell'utente che ha eseguito il player.
Non c'è da scherzare ;)
una cosa che mi chiedevo è QUANTO codice si possa far eseguire ...
sembrerebbe che comunque non si possa andare oltre un multiplo della dimensione dei pacchetti, ma forse ho confuso clamorosamente io :confused: ... come funzionava? (non è per metteremi a scrivere virus eh, devo capire come funzionano i buffer ) ;)

beh, provo a rispondere per i buffer dall'alto della mia profondissima ignoranza:

un buffer è appunto un contenitore nel quale possono essere contenuti dei dati, e fin qui nulla di nuovo :)

Ma, a seconda di come viene utilizzato nella programmazione, cioè con funzioni pericolose perchè non riescono ad eseguire un controllo sulla quantità dei dati che il buffer può ricevere, può diventare elemento ...uhm come dire, di pericolosità.

Da quello che sto imparando un pò con il C, c'è una funzione che andrebbe evitata che è la gets() e si dovrebbe preferire al suo posto la fgets() che invece riesce ad eseguire un controllo molto accurato sulla quantità di dati da passare al buffer. Il buffer overflow, se non erro si ottiene proprio quando si "sparano" in un buffer più dati di quanti ne possa contenere, dati che quindi, a livello di memoria, non si può prevedere dove vadano a finire.

Ma spero che qualche programmatore esperto possa correggere o ampliare questo discorso.

vorrei solo far presente che ANCHE in windows non esiste SOLO l'account administrator................

Originariamente inviato da Marino5
vorrei solo far presente che ANCHE in windows non esiste SOLO l'account administrator................

In riferimento a questo 3d, credo che non ci sia nulla da dire ne su m$, ne su linux, ne su apple & Co. perchè la vulnerabilità non appartiene ad un loro "interno" ma ad un programma esterno.

Quello che dici comunque è giusto ed è vero, e in molti non ci...come dire... "fanno caso" :)

Originariamente inviato da jappilas
una cosa che mi chiedevo è QUANTO codice si possa far eseguire ...
Bastano veramente pochi byte per aprire una shell remota con i privilegi dell'utente ;)

beh..prevenire è meglio che curare....
;) ;) ;) ;) ;)

Originariamente inviato da midian
beh..prevenire è meglio che curare....
;) ;) ;) ;) ;)

Anche se...in merito ad un buffer overflow...ci sono proverbi che non vanno affatto bene.....come...abbondare è meglio che deficere..........(deficiente...che sono a fare battutacce del genere :rolleyes: )

Scusate..una domanda da niubbo Linux..ma è così"popolare"la versione di RealPlayer per il pinguino?? Io l'ho sempre evitata come la peste, in quanto ne ho sentito parlare in termini piuttosto negativi!


quote
----------
quote:Originariamente inviato da fek
"Linux e' gratis per quelli il cui tempo non vale nulla"

vero
infatti è libero e non gratis, e la libertà è una conquista che a volte che si paga a caro prezzo (vedi Braveheart)...


Bello 'sto scambio di battute!! mo'me lo segno... così la prossima volta che qualcuno rompe dicendomi chi me l'ha fatto fare di passare al pinguino lo zittisco così!!! :)

Originariamente inviato da RaouL_BennetH
Pur ammettendo che il codice venga eseguito, verrebbe eseguito solo con i privilegi limitati dell'utente, o sbaglio?
Per far sapere al mondo intero che ci si puo' allungare il pene, che il viagra costa poco e che ci sono donne a carrellate pronte a soddisfare i propri desideri non occorrono tanti privilegi :D ( e nemmeno per fare lo zombie ).

"ha scoperto una grave vulnerabilità nei player prodotto dalla RealNetworks."

Ma che c'entra Linux e Windows??

E poi. Ognuno gestisce il proprio tempo come meglio crede..

"Linux e' gratis per quelli il cui tempo non vale nulla" ...questa è la più grande tr@jata che ho mai sentito...

vorrei solo far presente che ANCHE in windows non esiste SOLO l'account administrator................


hai mai provato ad usare un utente limitato sotto Windows? Ci sono mille programmi che ti danno dei problemi, ICQ fino alla versione 2003b compresa devi modificare dei privilegi sul registro di sistema, emule devi dare dei permessi alla cartella di installazione, x masterizzare devi installare Nero Burning Right, il mio programma per vedere la tv non si apre, per non parlare di altri che manco si installano.
Io ci ho provato ad usarlo, ma se usi solo office e poco altro ce la fai senno' no, e' proprio la mentalita' dei programmatori x windows che non e' multi-user.

Ho anche scritto ad un forum su emule++ per questa cosa, guardate cosa mi hanno risposto tempo fa...

http://emuleplus.info/forum/index.php?showtopic=4298&hl=

Scusate volevo dire emule plus, emule++ e' un client che a detta dei programmatori di emule plus non fa proprio le cose correttamente...

Originariamente inviato da Cimmo
Ho anche scritto ad un forum su emule++ per questa cosa, guardate cosa mi hanno risposto tempo fa...

http://emuleplus.info/forum/index.php?showtopic=4298&hl=
:muro:

Tra l'altro quello che hai chiesto è molto semplice da implementare. Un bravo programmatore te lo fa in pochi minuti.
Che usano a fare XP, se lo usano come un 98?

Originariamente inviato da ImperatoreNeo
"Linux e' gratis per quelli il cui tempo non vale nulla" ...questa è la più grande tr@jata che ho mai sentito...

t.....ata perchè? io ho sempre sentito dire che "il tempo è denaro"
e anche in famiglia mi hanno abituato a dare un valore al tempo, (mio padre - "sai Marco quella cosa - chessò un paio di scarpe - mi costerebbe mezza giornata di lavoro in ufficio " )
e proprio qui sul forum mi è stato insegnato che linux è uno strumento che richiede un certo impegno e un certo tempo in cambio di cui, poi, può anche dare grosse soddisfazioni all' utente ..
solo che finchè io faccio pratica nell' uso di uno strumento di lavoro andando per tentativi, oppure dedico del tempo a configurarlo o ancora, a cercare informazioni per risolvere un qualche problema, non sto lavorando, non sto "producendo" ...
non posso dire sia tempo sprecato, ma una specie di investimento.. se uso il pc per smanettare e giochicchiare, vuol dire che ho deciso di non impiegare quel tempo a studiare/lavorare, quindi di non "investire" il mio tempo in qualcosa di utile per il mio futuro, e allora sarebbe un passivo calcolato...

non ti pare?

Originariamente inviato da /\/\@®¢Ø
Per far sapere al mondo intero che ci si puo' allungare il pene, che il viagra costa poco e che ci sono donne a carrellate pronte a soddisfare i propri desideri non occorrono tanti privilegi :D ( e nemmeno per fare lo zombie ).


Battuta carina :D, ma non l'ho capita :muro:

t.....ata perchè? io ho sempre sentito dire che "il tempo è denaro"

Infatti: è denaro. Allora se un software come real player è bacato anche nella versione Linux, che cavolo gliene frega alle aziende??

Se ti da problemi a casa, capirai cosa c'entra il tempo e il denaro.. qualcuno viene forse pagato per guardare i filmati? no.

Se un'azienda decide di implementare Linux poi si affida a professionisti (non cialtroni!) e cmq. spende meno che per le licenze M$ (Conoscete i prezzi per tutti i client con XP, server(s) con Win2003 e Exchange + CAL per i due per ogni PC?).

Soldi quindi.

Aggiunge office? No, mettiamo Openoffice. Fattibilissimo, basta aver coraggio.

Alla fine Linux è + o - gratis (o open source) per chi non è disposto a pagare fior di quattrini per avere la pappa pronta (che poi per fare le cose fatte bene tanto pronta non è...)

;)

Veramente della vulnerabilita' del RalPlayer mezzo mondo
ne aveva un idea anche se finora non si sapevano i dettagli.
Sulla Gentoo Linux e' masked dai tempi dei tempi (cioe'
viene sconsigliato di installarlo ed i meno esperti non
riescono a farlo.....) e.......
Ma guardacaso pochi giorni fa real craccka l'ipod di apple ed oggi salta fuori sta bega per real.....
che eEye abbia qualche connessione con apple???

mi parte che stimo arrvando ad uina nuova generazione di virus i quali non sfruttano i metodi tradizionali.se gli antivirus già pesanti così dovessero analizzare i file jpg e gli rm gli avi , mpeg ecc, i computer diventerebbero lentissimi.

Commento # 4 di : Max Power pubblicato il 04 Oct 2004, 18:54
Se volessero farebbero diventere Linux peggio di una groviera in meno di 1 settimana.....

Solamente ora il nemico da "sconfiggere" è M$!!!!!

A prescindere dai discorsi sulla qualità del software la superiorità del pinguino è di fondo...se esce un baco ci sono migliaia di persone che possono lavorarci subito sopra. L'aggiornamento è pronto dopo ORE non SETTIMANE (se va bene...): se aspettiamo Microsoft siamo a posto! Sempre se la stessa casa di Redmond decide valga la pena lavorarci su...

Originariamente inviato da ilsensine
:muro:

Tra l'altro quello che hai chiesto è molto semplice da implementare. Un bravo programmatore te lo fa in pochi minuti.
Che usano a fare XP, se lo usano come un 98?
Lo so!!!
E poi hai visto le risposte che mi hanno dato? :mc:

Originariamente inviato da Cimmo
[cut]
ma se usi solo office

Nemmeno, lasciamelo dire, nemmeno!
:rolleyes:
Nemmeno M$ Office funziona a dovere in multi-user (anche con account amministrativi!!!), esperienza diretta (lg. uindos installer 2.0, ma non solo)!
:incazzed: :ncomment:


[cut]
Ho anche scritto ad un forum su emule++ per questa cosa, guardate cosa mi hanno risposto tempo fa...

http://emuleplus.info/forum/index.php?showtopic=4298&hl=
Beh, scusa se te lo dico ma il tuo IMHO e' solo un puntiglio, perche' in *teoria* avresti anche ragione, ma in *pratica* no.
:mc:

Hai provato ad utilizzare eMule distribuito in versione zippata?
Con quello risolvi ogni problema di multiutenza e non sporchi nemmeno il registro (che e' meeeglio! ;) )

Cioe' voglio dire, t'incazzi tanto perche' hai qualche emule.exe + configfile in giro per le varie %userprofile%/desktop quando, almeno stando alla mia ''installazione'' (con ''Temp'' e ''Incoming'' spostate su un'altra partiz.), pesa solo 8,4 MB: non sarebbe critica la questione nemmeno se avessi configurato 100 utenti diversi!
Suvvia!
:rolleyes:

...e poi stiamo parlando di eMule, voglio dire!
:blah:

PS: e comunque, non so se e' stato implementato nel ramo ufficiale, ma in diverse mod sono sicuro che la possibilita' di lanciare istanze multiple del mulo c'e' da un pezzo (anche dallo stesso utente, ovviamente con dubbia utilita'!), e AFAIK funziona anche col fast-switching di icspi (ma non ci metterei la mano sul fuoco!).

Originariamente inviato da RaouL_BennetH
Battuta carina :D, ma non l'ho capita :muro:
A volte piu' che l'accesso di root al sistema, un worm serve per ottenere una macchina in grado di accedere ad internet per poter spedire spam, o collaborare in un ddos. Da dove credi che venga tutto lo spam che ti arriva in posta ? :D

Originariamente inviato da /\/\@®¢Ø
A volte piu' che l'accesso di root al sistema, un worm serve per ottenere una macchina in grado di accedere ad internet per poter spedire spam, o collaborare in un ddos. Da dove credi che venga tutto lo spam che ti arriva in posta ? :D

Allora sei tu che hai preso possesso del mio pc maledetto spammer :D

Grazie per il chiarimento, non ci sarei arrivato nemmeno tra un miliardo di anni :)

Originariamente inviato da 12pippopluto34
...e poi stiamo parlando di eMule, voglio dire!
:blah:

Ma si certo, era solo un esempio! Il problema e' che non e' cosi' solo x emule, ma anche x tanti altri software magari che occupano + di 8,4 mb ;)