Android, gli aggiornamenti di settembre correggono 32 vulnerabilità (e una 0-day)

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/telefo...ay_119861.html

Il bug attivamente sfruttato consente l'esecuzione di codice da remoto senza richiedere interazione dell'utente. Le patch risolvono anche altri 32 bug di sicurezza, fra cui alcuni critici

Click sul link per visualizzare la notizia.

[popye]

ma quanti ...mila bug ci sono in un S.O.?
tutti casuali e involontari?
non credo altrimenti come farebbero a "spiarci" per benino.

[unnilennium]

senza entrare nel merito delle teorie complottiste, è molto più semplice:

c'è in giro un sistema operativo, abbastanza diffuso c'è sicuramente qualcuno che proverà a violarlo per scopi malevoli, la scoperta di un bug può considerarsi una porta che si può sfruttare, di solito chi la scopre prima la sfrutta, finchè il produttore non si accorge e tappa il buco.

[Varg87]

Quote:

Originariamente inviato da popye

ma quanti ...mila bug ci sono in un S.O.?
tutti casuali e involontari?
non credo altrimenti come farebbero a "spiarci" per benino.

Un abbraccio, Adam.

[pachainti]

Quote:

Originariamente inviato da popye

ma quanti ...mila bug ci sono in un S.O.?
tutti casuali e involontari?
non credo altrimenti come farebbero a "spiarci" per benino.

Difficile dirlo. Un software come un sistema operativo è complesso, gli sviluppatori per risparmiare tagliano prima di tutto le funzionalità non visibili come la sicurezza, ormai dai tempi di microsoft con windows 95-98 gli utenti sono i beta tester. Se i software venissero testati prima di essere rilasciati, ce ne sarebbero molte meno.
Inoltre, Snowden e WikiLeaks hanno mostrato che le vulnerabilità venivano introdotte volontariamente per scopi di spionaggio. Basta vedere i vari programmi Prism, Vault7, XKeyscore.

[coschizza]

Quote:

Originariamente inviato da pachainti

Difficile dirlo. Un software come un sistema operativo è complesso, gli sviluppatori per risparmiare tagliano prima di tutto le funzionalità non visibili come la sicurezza, ormai dai tempi di microsoft con windows 95-98 gli utenti sono i beta tester. Se i software venissero testati prima di essere rilasciati, ce ne sarebbero molte meno.
Inoltre, Snowden e WikiLeaks hanno mostrato che le vulnerabilità venivano introdotte volontariamente per scopi di spionaggio. Basta vedere i vari programmi Prism, Vault7, XKeyscore.

Se i software venissero testati prima di essere rilasciati non cambierebbe nulla visto che i fatti lo confermano
nemmeno i software testati per 30 anni di fila sono esenti da bug questo è un fatto

[agonauta78]

Non ce lo dicono

[pachainti]

Quote:

Originariamente inviato da coschizza

Se i software venissero testati prima di essere rilasciati non cambierebbe nulla visto che i fatti lo confermano
nemmeno i software testati per 30 anni di fila sono esenti da bug questo è un fatto

Certo, infatti ho scritto che ce ne sarebbero molto meno, non nessuno.

[lollo9]

Quote:

Originariamente inviato da pachainti

Difficile dirlo. Un software come un sistema operativo è complesso, gli sviluppatori per risparmiare tagliano prima di tutto le funzionalità non visibili come la sicurezza, ormai dai tempi di microsoft con windows 95-98 gli utenti sono i beta tester. Se i software venissero testati prima di essere rilasciati, ce ne sarebbero molte meno.
Inoltre, Snowden e WikiLeaks hanno mostrato che le vulnerabilità venivano introdotte volontariamente per scopi di spionaggio. Basta vedere i vari programmi Prism, Vault7, XKeyscore.

A parte che i software comunque li testano, e pure parecchio. Stress test, pen test, smoke test, validazioni di tutti i tipi, ecc.
Android liscio ha una codebase da 12mln di righe, cui aggiungerne quasi altri 500mln sotto forma di dipendenze, e senza considerare gl’immensi baracconi cloud a supporto del tutto disseminati in tutto il mondo.
E non è nemmeno solo la quantità il problema, è che poi chi ci lavora va anche coordinato, che non è cosa affatto banale.

Sulla maggior parte delle proprie codebase, nessun vendor ha il pieno controllo, nemmeno se si chiama Google, Microsoft o chicchessia.

Il massimo che puoi fare è testare prima del rilascio fino a che sia ragionevole farlo, e concentrarsi su architetture intrinsecamente più sicure di altre e che siano facili da correggere in corsa.

Fermo restando che una vulnerabilità è tale solo quando la si conosce, fino ad allora non esiste.

[pachainti]

Quote:

Originariamente inviato da lollo9

A parte che i software comunque li testano, e pure parecchio. Stress test, pen test, smoke test, validazioni di tutti i tipi, ecc.
Android liscio ha una codebase da 12mln di righe, cui aggiungerne quasi altri 500mln sotto forma di dipendenze, e senza considerare gl’immensi baracconi cloud a supporto del tutto disseminati in tutto il mondo.
E non è nemmeno solo la quantità il problema, è che poi chi ci lavora va anche coordinato, che non è cosa affatto banale.

Sulla maggior parte delle proprie codebase, nessun vendor ha il pieno controllo, nemmeno se si chiama Google, Microsoft o chicchessia.

Il massimo che puoi fare è testare prima del rilascio fino a che sia ragionevole farlo, e concentrarsi su architetture intrinsecamente più sicure di altre e che siano facili da correggere in corsa.

Fermo restando che una vulnerabilità è tale solo quando la si conosce, fino ad allora non esiste.

Certo che li testano, ma per risparmiare e a causa di deadline impossibili spesso vengono rilasciati software ancora in beta e gli utenti finali si occupano della rifinitura.
Per quale motivo anche le grandi software house si comportano così? Perché purtroppo nel software non c'è alcuna responsabilità da parte del produttore in caso di difetti, danni, ecc. come in tutti gli altri settori e quindi nessuno ha interesse a farlo.
Quello che manca è una legislazione appropriata. L'UE sta cercando di creare un quadro normativo Cyber Resilience Act (CRA) che ha ricevuto diverse critiche dalla comunità open source. Speriamo sistemino i difetti emersi e mettano fine al far west.