Discussione: Vulnerabilità critica su Glibc mette a rischio sistemi Linux: rilasciato il fix
View Single Post
Old 17-02-2016, 15:40   #19
LMCH
Senior Member
 
Iscritto dal: Jan 2007
Messaggi: 6026
Quote:
Originariamente inviato da Pier2204 Guarda i messaggi
E' stata introdotta nel 2008, è stata scoperta da Google e Red Hat lo scorso anno.. oggi c'è una procedura temporane messa a punto da Google per proteggersi, in quanto la falla è attualmente ancora attiva..

Dal 2008 a oggi sono più di 7 anni, possibile che i 10.000 occhi che osservano il codice non si sono accorti? (slogan dei mille occhi che sento da tempo) chi si è accorto sono 2 Aziende di grosse dimensioni come Google e Red Hat?

Possibile che questa falla presente nella libreria GNU C, collezione di codici open-source utilizzati in svariate applicazioni stand-alone e da parecchie distribuzioni di Linux, incluse quelle pensate per soluzioni embedded o router è passata completamente inosservata per tanti anni?
Se leggi al descrizione del bug noterai che si può sfruttare solo in due casi:
a) applicazione che usa libc e che per come è fatta è già vulnerabile ad attacchi man-in-the-middle
b) eseguendo ricerche su domini o DNS controllati dall'aggressore.

In altre parole per "funzionare" devono esserci già altri problemi strutturali di sicurezza belli gravi.

Il fatto che sia passata inosservata così a lungo non è così strano, in compenso una volta notato cosa succedeva si è potuto risalire all'origine del problema e correggerlo.

Per rendere l'idea, bug simili su software closed source vengono corretti molto più tardi (SE vengono corretti) proprio perche gli esperti di sicurezza esterni non hanno accesso ai sorgenti, possono al massimo segnalare che in certe condizioni succede qualcosa
ma proprio in questo caso visto di che precondizioni si trattava, verrebbe considerato un bug a bassa priorità oppure non verrebbe replicato correttamente e si penserebbe ad una segnalazione erronea, lasciandolo li a frollare ancora per anni.

Ad esempio, se ti inalberi per i 7 anni di quel bug, che ne dici dei 19 ANNI che ci ha messo Microsoft per accorgersi di un problema ben più grave ?

O per dirla in un altro modo Microsoft ha impiegato quasi il triplo per correggere un problema ben più evidente.
LMCH è offline   Rispondi citando il messaggio o parte di esso
 
1