Apple: 31 nuove vulnerabilità per Mac OS X

[Leron]

Quote:

Originariamente inviato da JohnPetrucci

Come vogliasi dimostrare non esiste software esente da bug, nemmeno i rinomati s.o. della Apple, se non in testa a qualche fanboy.

chiunque abbia mai sostenuto che al mondo esiste software senza bug è ignorante e sprovveduto, quindi direi che non c'era proprio niente da dimostrare, è la scoperta dell'acqua calda

[Cimmo]

Quote:

Originariamente inviato da blackshard

Questi comunque non sono bug.

e cosa sono? Brustolini?

[Truelies]

Quote:

Originariamente inviato da Zerk

Anche Windows 2000 - XP - 2003 Server sono basati su kernel unix (NT derivato da UNIX) non si nota la differenza dal 95 - 98 - ME?

[wanderp]

Ma che articolo è? Apple da sempre rilascia security update che aggiornano componenti del sistema correggono vulnerabilità ecc ogni prodotto sw ha errori vulnerabilità ecc è normale correggere le cose periodicamente, queste falle le ha scoperte apple e le ha corrette di sequenza, fa parte del normale ciclo di vita di un prodotto sw...

[Dias]

Le falle cmq non sono 31, ma 43. Le 12 mancanti sono tutti di QuickTime (e poi qualcuno si lamenta di WMP...).

http://www.osnews.com/comment.php?news_id=14602


E, per chi ora comincia a difendersi con la scusa "tanto li risolvono in fretta", su Securnia vedo 2 falle di iTunes e 1 di Quicktime dello scorso anno non ancora sistemate.

[Galileo]

Quote:

Originariamente inviato da Dias

Le falle cmq non sono 31, ma 43. Le 12 mancanti sono tutti di QuickTime (e poi qualcuno si lamenta di WMP...).

http://www.osnews.com/comment.php?news_id=14602


E, per chi ora comincia a difendersi con la scusa "tanto li risolvono in fretta", su Securnia vedo 2 falle di iTunes e 1 di Quicktime dello scorso anno non ancora sistemate.

ben 3...pensa che per Internet Explorer sono più di 10 lì dal 2003...


vedo la pagliuzza ma non vedo la trave...

[Galileo]

Quote:

Originariamente inviato da JohnPetrucci

Come vogliasi dimostrare non esiste software esente da bug, nemmeno i rinomati s.o. della Apple, se non in testa a qualche fanboy.

non sono bug e non esiste un sistema a priori a prova di falla....


comunque se si devono scrivere delle banalità per forza si può anche evitare di premere il tasto invia eh...

[Galileo]

Quote:

Originariamente inviato da Cimmo

e cosa sono? Brustolini?

sono delle vulnerabilità...


ma non studiavi informatica o mi sbaglio io?

[Galileo]

Quote:

Originariamente inviato da Leron

per questo ormai non posto più nelle news: è diventato impossibile avviare discussioni serie

molto d'accordo con te...almeno finchè i soliti noti non verranno "debellati" o si autosospenderanno...

[Cimmo]

Quote:

Originariamente inviato da Galileo

sono delle vulnerabilità...


ma non studiavi informatica o mi sbaglio io?

le vulnerabilita' sono bug
Mancati controlli di alcune variabili che possono andare oltre il limite min/max voluto dal programmatore.
[esempio non esaustivo di vulnerabilita']

Tutti i miei professori li chiamano bug questi, tu non lo so.

[Galileo]

Quote:

Originariamente inviato da Cimmo

le vulnerabilita' sono bug
Mancati controlli di alcune variabili che possono andare oltre il limite min/max voluto dal programmatore.
[esempio non esaustivo di vulnerabilita']

no, la vulnerabilità (flaw) può essere causata da un bug.

Quote:

Tutti i miei professori li chiamano bug questi, tu non lo so.

i professori lasciamoli stare...il fatto di possedere un titolo non li esenta certo dallo sbagliare terminologia; cosa per altro che nel mondo accademico italiano, considerato il vecchiume dei programmi ( ci sono corsi di architettura degli elaboratori dove ancora oggi si fà fatica ad arrivare al Pentium II) e la scarsa capacità e voglia di aggiornarsi di una parte del corpo docente, non accade così di rado.

[Cimmo]

Quote:

Originariamente inviato da Galileo

no, la vulnerabilità (flaw) può essere causata da un bug.

la vulnerabilita' e' un punto nel codice dove una persona abbastanza esperta riesce a sfruttare una particolare circostanza e far fare al programma una cosa non voluta dal programmatore, per esempio eseguire codice arbitrario o causare un denial of service, io questo lo chiamo bug!

Tutto cio' che fuoriesce da quello che era il progetto iniziale del software io lo chiamo bug.

tu che definizione daresti scusa?

[mjordan]

Quote:

Originariamente inviato da Galileo

sono delle vulnerabilità...


ma non studiavi informatica o mi sbaglio io?

Le vulnerabilità, come ti ha detto qualcun altro, SONO bug.
Un bug può portare diverse conseguenze, non sempre catastrofiche:

1) Il programma funziona correttamente a livello di esecuzione ma si comporta diversamente da come dovrebbe comportarsi (ad esempio, un risultato sbagliato di un calcolo).
2) Il crash del programma stesso, dovuto a troppi fattori da riportare qui.
3) Il proseguio tranquillo dell'esecuzione ma con la conseguente apertura di una vulnerabilità (e anche qui i casi sono molteplici, perchè anche le vulnerabilità possibili sono molteplici).

Conclusione: Un bug non è detto che sia una vulnerabilità ma una vulnerabilità è certamente un bug.

Per definizione, un programma, nei vari requisiti, deve avere caratteristiche di "robustezza". Una vulnerabilità potrebbe essere conseguenza di una mancata robustezza in certi tipi di controlli all'interno del codice.
Una vulnerabilità quindi non è un errore sintattico (il codice è corretto) ma un errore semantico (un errore logico).

Spero di essere stato chiaro

[mjordan]

Quote:

Originariamente inviato da niko*

come mai la notizia è sbucata solo ora che 2 giorni fa c'era già l'aggiornamento software per fixare questi problemi?

Perchè se ogni giorno si dovessero pubblicare tutte le notizie che escono sul pianeta, oltre ad avere un esercito anzichè una redazione, bisognerebbe avere dei data center anzichè un forum

[blackshard]

Quote:

Originariamente inviato da Cimmo

e cosa sono? Brustolini?

I problemi di vulnerabilità e sicurezza non sono dovuti a bug nel senso stretto. Magari il software funziona senza problemi nell'uso comune, ma quando si va' a "forzare" uno specifico modulo con operazioni non convenzionali, si ha un comportamento anomalo.

L'esempio classico è il modo per scoprire il sistema operativo "agendo" sui flag dei pacchetti IP usato dal tool nmap, infatti ogni implementazione di tcp/ip risponde in modo diverso ad un pacchetto "malformato" che ha dei flag non validi. Tu in questo caso parleresti di bug, oppure di vulnerabilità dovuto all'implementazione?

[Cimmo]

Quote:

Originariamente inviato da blackshard

I problemi di vulnerabilità e sicurezza non sono dovuti a bug nel senso stretto. Magari il software funziona senza problemi nell'uso comune, ma quando si va' a "forzare" uno specifico modulo con operazioni non convenzionali, si ha un comportamento anomalo.

no ragazzi non ci siamo, se non avete idea di cosa sia un bug e di cosa ci rientra nella definizione lasciate stare.

Un bug e' tutto cio' che l'applicazione FA e NON dovrebbe fare o cmq non era progettata per fare.
Questo puo' andare da un crash ad un bottone non funzionante in una GUI ad un buffer overflow che causa una vulnerabilita' dall'esterno.

Se uno fa un software che fa x+y=z con x e y immessi dall'utente e io in x ci metto "ciaobello" e il programma va' in crash e' un bug perche' e' un mancato controllo di quello che ci piazzo dentro in x e y (ammettendo che siano campi text).
Stessa cosa sono i bug dove mancano i controlli di min e max su una variabile o su qualcos'altro.

SONO TUTTI BUG!
Ovviamente con diverse cause e diversi effetti, ma pur sempre bug.


Non e' che un bug non e' tale solo perche' l'utente apparentemente non vede il malfunzionamento...

Quote:

L'esempio classico è il modo per scoprire il sistema operativo "agendo" sui flag dei pacchetti IP usato dal tool nmap, infatti ogni implementazione di tcp/ip risponde in modo diverso ad un pacchetto "malformato" che ha dei flag non validi. Tu in questo caso parleresti di bug, oppure di vulnerabilità dovuto all'implementazione?

Infatti il bravo programmatore si deve domandare:
"Cosa faccio in presenza di pacchetti IP malformati?"
- li scarto
- cerco di recuperarli
- altro

di certo non ci deve essere tra le opzioni
- eseguo codice arbitrario

se questo avviene siamo di fronte ad una vulnerabilita' o bug.

[blackshard]

Quote:

Originariamente inviato da Cimmo

no ragazzi non ci siamo, se non avete idea di cosa sia un bug e di cosa ci rientra nella definizione lasciate stare.

Un bug e' tutto cio' che l'applicazione FA e NON dovrebbe fare o cmq non era progettata per fare.
Questo puo' andare da un crash ad un bottone non funzionante in una GUI ad un buffer overflow che causa una vulnerabilita' dall'esterno.

Se uno fa un software che fa x+y=z con x e y immessi dall'utente e io in x ci metto "ciaobello" e il programma va' in crash e' un bug perche' e' un mancato controllo di quello che ci piazzo dentro in x e y (ammettendo che siano campi text).
Stessa cosa sono i bug dove mancano i controlli di min e max su una variabile o su qualcos'altro.

Secondo me per definizione sono due cose diverse.

Un bug di programmazione classico comporta in output un risultato diverso da quello preventivano, ottenuto dall'esecuzione del codice scritto in modo errato.

Una vulnerabilità prevede che ci sia un attaccante attivo, una persona fisica o chi per lui, dall'altro lato che forza il codice, cosa che ovviamente non esiste nel caso di un bug.

[mjordan]

Quote:

Originariamente inviato da blackshard

Secondo me per definizione sono due cose diverse.

Il problema è appunto la frase "secondo me". Cosa è un bug e cosa non lo è fa parte della definizione classica, che non ci si è di certo inventati in base a considerazioni personali. Un bug è un errore del codice (sintatticamente corretto ma semanticamente sbagliato) o un errore logico (mancata implementazione di controlli che rendono robusto il codice a input non previsti). Tutto il resto è aria.

Quote:

Un bug di programmazione classico comporta in output un risultato diverso da quello preventivano, ottenuto dall'esecuzione del codice scritto in modo errato.

Una vulnerabilità prevede che ci sia un attaccante attivo, una persona fisica o chi per lui, dall'altro lato che forza il codice, cosa che ovviamente non esiste nel caso di un bug.

Il codice non si forza come una serratura. Se il codice è forzabile, significa che si sfrutta un errore di programmazione. Un bug, appunto. Un bug che non causa crash ma apre delle "strade" di esecuzione di codice malevolo. Un tipo di bug che si chiama vulnerabilità.

Tutte le vulnerabilità sono bug, non tutti i bug sono vulnerabilità.

Se il cobra e la vipera sono rettili, il crash e la vulnerabilità sono bug. Mi sembra un concetto cosi elementare

[blackshard]

http://en.wikipedia.org/wiki/Vulnera...ter_science%29

in particolare:

"Vulnerabilities may result from bugs or design flaws in the system."

con cui dovrebbe essere chiaro l'esempio dei flag sullo stack tcp/ip che ho riportato in precedenza, che non è un bug.

[mjordan]

Quote:

Originariamente inviato da blackshard

http://en.wikipedia.org/wiki/Vulnera...ter_science%29

in particolare:

"Vulnerabilities may result from bugs or design flaws in the system."

con cui dovrebbe essere chiaro l'esempio dei flag sullo stack tcp/ip che ho riportato in precedenza, che non è un bug.

Quindi? Non implica forse che è comunque un bug?