Google e Red Hat hanno scoperto in maniera indipendente una vulnerabilità di sicurezza introdotta su un aggiornamento della libreria glibc del 2008
di Nino Grasso pubblicata il 17 Febbraio 2016, alle 12:31 nel canale Sicurezza
Leonidas abbatte 49 droni in un colpo solo: la nuova frontiera delle armi a microonde
The Social Reckoning: il seguito di The Social Network ha una data di uscita
iPhone 16 si trova ora su Amazon a soli 699€: in questo momento in 4 varianti di colore
Amazon fa a pezzi i prezzi dei monitor gaming: AOC fino a 240Hz da soli 79€
Componenti hardware e periferiche PC a prezzi mai visti: come potenziare il PC spendendo poco
Pianeta in crisi: 7 su 9 limiti vitali già superati, il report è allarmante
Galaxy S25 FE con taglio di prezzo di 100€ con coupon e Buds FE e Buds3 FE super scontate: tutte le offerte in casa Samsung
4 robot aspirapolvere e 3 scope elettriche in offerta super su Amazon: come risparmiare con gli acquisti per le pulizie
Nuovissimi Xiaomi 15T e 15T Pro con tagli di prezzo di 100€ grazie a un coupon su Amazon: ma si può arrivare anche a 400€ di sconti, ecco come
Le agenzie federali americane potranno usare Grok: l'accordo tra xAI e Governo a 42 centesimi per agenzia
Smartphone pieghevoli sempre più diffusi: crescita record nei prossimi due anni
LG svela le Easy TV, una nuova gamma di Smart TV pensate per gli anziani
L'equipaggio della missione Shenzhou-20 ha completato la sua quarta attività extraveicolare
Possibili detriti spaziali del razzo cinese Smart Dragon 3 sono stati ritrovati in Argentina
Hisense A85N: il ritorno all’OLED è convincente e alla portata di tutti
Dopo alcuni anni di assenza dai cataloghi dei suoi televisori, Hisense riporta sul mercato una proposta OLED che punta tutto sul rapporto qualità prezzo. Hisense...
TCL NXTPAPER 60 Ultra: lo smartphone che trasforma la lettura da digitale a naturale
NXTPAPER 60 Ultra è il primo smartphone con tecnologia NXTPAPER 4.0 per il display, un ampio IPS da 7,2 pollici. Con finitura anti-riflesso, processore MediaTek...
Recensione Borderlands 4, tra divertimento e problemi tecnici
Gearbox Software rilancia la saga con Borderlands 4, ora disponibile su PS5, Xbox Series X|S e PC. Tra le novità spiccano nuove abilità di movimento, un pianeta...
Fujifilm X-E5: la Fuji X che tutti gli appassionati volevano
Dopo il fascino un po’ elitario della GFX100RF e le polemiche intorno a x Half, la nuova Fujifilm X-E5 riporta tutti d’accordo: una mirrorless compatta, leggera,...
Vi portiamo all'interno di uno dei più importanti centri di distribuzione Amazon in Italia
MXP6 è uno dei più recenti investimenti di Amazon sul territorio italiano, per la realizzazione di un capannone da 60.000 metri quadri alle porte di Novara, a due...
Nokia Innovation Day 2025: l’Europa ha bisogno di campioni nelle telecomunicazioni
Dal richiamo di Enrico Letta alla necessità di completare il mercato unico entro il 2028 alla visione di Nokia sul ruolo dell’IA e delle reti intelligenti, il Nokia...
Nuova Ford Capri elettrica, la super prova: in viaggio, in città e in autostrada
Dopo diverse prove, da poche ore al volante, fino a un'intera settimana come prima auto, possiamo riportarvi tutti i dettagli e le impressioni sulla Ford Capri elettrica...
Ecovacs Deebot X11 Omnicyclone: niente più sacchetto per lo sporco
Deebot X11 Omnicyclone implementa tutte le ultime tecnologie Ecovacs per l'aspirazione dei pavimenti di casa e il loro lavaggio, con una novità: nella base di ricarica...
Membro della European Hardware Association
Hisense A85N: il ritorno all’OLED è convincente e alla portata di tutti
Recensione Borderlands 4, tra divertimento e problemi tecnici
TCL NXTPAPER 60 Ultra: lo smartphone che trasforma la lettura da digitale a naturale
41 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoSiamo su una news che parla di Linux.
Ma se ti fa piacere sentirti dire che, in ambito mobile, un O.S che non si fila praticamente nessuno è sicuro allora te lo dico...
Un linguaggio non può essere sicuro/non sicuro.
Il codice che scrivi può essere codice scritto bene o scritto male.
Dipende da quanto sei in grado di rispettare le best practices e da quanto sei capace di comprendere cosa stai facendo esattamente e perché.
E non risolvi il problema come pensi tu aggiungendo altro codice alla minestra, che è quello che viene fatto con i linguaggi che tu consideri "safe": alla fine si basano su interpreti/compilatori JIT scritti in... C/C++.
Nota bene: devi "fidarti" abbastanza di ciò che fa l'hardware e di ciò che fa il compilatore (che non sono esenti da bug).
È aggiungendo codice su codice che si introducono i bug.
Tutto questo perché? Perché uno "sviluppatore" non è in grado di gestire la memoria correttamente? Dal mio punto di vista vuol dire che non è in grado di fare lo sviluppatore e non dovrebbe farlo.
Il codice che scrivi può essere codice scritto bene o scritto male.
Però ci sono linguaggi che offrono strumenti e meccanismi semantici che aiutano a scrivere codice più sicuro. Un programmatore non è una macchina, per cui non bisogna scaricargli addosso tutte le responsabilità sul fronte sicurezza e robustezza.
Esistono linguaggi come Rust, ma purtroppo ( e mi costa dirlo ) la comunità opensource in particolare sembra estremamente refrattaria ad utilizzarli. E' pazzesco dover notare che un software fondamentale come SystemD sia stato scritto ancora nel solito, usato ed abusato C.
Se vabbè stammi bene.
Ci vediamo sulla prossima news simile a questa dove sarai già in mano con la bottiglia pronto a festeggiare.
Ma quanti anni hai?
A no aspè...Ho capito...
poi il costo del software non e' la licenza è tutto il resto.
Lasciando stare il numero di applicazioni:
android e' gratis, WP è licenziato.
Ma alla fine il costo di un cellulare android è superiore ai lumia, diventano lentissimi dopo poco. devi stare sempre a fare manutenzione. devi mettere antivirus, devi stare attento a mille attacchi.
Alla fine WP mi costa molto meno
Specie in ambito aziendale (da noi si usano Lumia che sono configurati aziendalmente e sono impenetrabili, se si usassero Android sarebbe pericolossissimo per la sicurezza aziendale, sapendo poi che tutti smanettano e ci mettono quello che vogliono (un WP configurato aziendalmente e' blindatissimo)
Dal 2008 a oggi sono più di 7 anni, possibile che i 10.000 occhi che osservano il codice non si sono accorti? (slogan dei mille occhi che sento da tempo) chi si è accorto sono 2 Aziende di grosse dimensioni come Google e Red Hat?
Possibile che questa falla presente nella libreria GNU C, collezione di codici open-source utilizzati in svariate applicazioni stand-alone e da parecchie distribuzioni di Linux, incluse quelle pensate per soluzioni embedded o router è passata completamente inosservata per tanti anni?
Se leggi al descrizione del bug noterai che si può sfruttare solo in due casi:
a) applicazione che usa libc e che per come è fatta è già vulnerabile ad attacchi man-in-the-middle
b) eseguendo ricerche su domini o DNS controllati dall'aggressore.
In altre parole per "funzionare" devono esserci già altri problemi strutturali di sicurezza belli gravi.
Il fatto che sia passata inosservata così a lungo non è così strano, in compenso una volta notato cosa succedeva si è potuto risalire all'origine del problema e correggerlo.
Per rendere l'idea, bug simili su software closed source vengono corretti molto più tardi (SE vengono corretti) proprio perche gli esperti di sicurezza esterni non hanno accesso ai sorgenti, possono al massimo segnalare che in certe condizioni succede qualcosa
ma proprio in questo caso visto di che precondizioni si trattava, verrebbe considerato un bug a bassa priorità oppure non verrebbe replicato correttamente e si penserebbe ad una segnalazione erronea, lasciandolo li a frollare ancora per anni.
Ad esempio, se ti inalberi per i 7 anni di quel bug, che ne dici dei 19 ANNI che ci ha messo Microsoft per accorgersi di un problema ben più grave ?
O per dirla in un altro modo Microsoft ha impiegato quasi il triplo per correggere un problema ben più evidente.
[LIST=1]
[*]Funzione di 1000 righe con codice ripetuto
[*]Migliaia di goto
[*]Macro orrende a dai nomi incomprensibili
[*]if la cui graffa si chiudeva dopo centinai di righe!
[/LIST]
Tutto questo faceva sì che il BUG era difficile da trovare appunto perché non si riusciva a comprendere il codice!
Certo codice scritto male non esente da bug è possibile scriverlo in qualsiasi linguaggio si usi, ma C/C++ sono unsafe by design è così facile scrivere codice bacato con buffer underrun / underflow che poi permette - chissà come - di scardinare tutta la sicurezza dell'OS fino a chiamare pezzi del kernel...
No, in Java no... in C#
Che non vuol dire far girare l'OS sotto una VM, Cosmos una volta compilato l'IL con il normale compilatore Microsoft viene ricompilato in assembler come fa il C, mantenendo comunque la sicurezza (le Stringhe per dire hanno sempre la dimensione giusta non posso scriverci più di quanto ho allocato) di avere un linguaggio Managed.
E` una sfida complessa, ma che si possa fare è certo, è già stato fatto:
http://joeduffyblog.com/2015/12/19/safe-native-code/
mamma mia una if lunga 200 righe non l'ha mai vista nessuno
http://sources.debian.net/src/glibc...solv/res_send.c
come dire: "C per me significa Chi Czz Ci Capisce Cualcosa"
Ovvio, poi ognuno avrà le sue competenze
la fonte è Microsoft ?
Delle altre "pippe" sulla percentuale di mercato, percentuale di sicurezza, del perché e del percome non interessa nulla di nulla a nessuno.
Quindi mi viene da ridere quando un affezionato ai sistemi Microsoft si fionda su notizie come queste e cercare il suo momento di gloria.
Ti avevo dato una possibilità ma vedo che non capisci.
Io al contrario tuo mi sento persona "ignorante" quindi pongo una domanda e faccio 2 considerazioni su quanto sento e leggo, non in questa notizia in particolare, ma su quello che ho sempre letto riguardo la sicurezza dei sistemi.
Ad esempio LMCH e Warduck hanno fornito una spiegazione esaustiva riguardo questo particolare Bug e sul perchè possono rimanere non scoperti per anni finchè non si manifestano. Tanto mi basta.
Invece la risposta di Battilei è sempre la stessa come un disco incantato, e si permette di dire che c'è un tasso di trollaggio quando lui non perde occasione...
Scusate.
A proposito, guarda un po da dove scrivo...
Link ad immagine (click per visualizzarla)
Se non ricordo male, il bug era uno (gravissimo eh, e non mi spiego come sia stato possibile non notarlo per 2 anni).
Codice senza senso, sulla base di quale argomentazione tecnica?
Finché si scriveranno software, non saranno mai esenti da bug. Il linguaggio utilizzato non c'entra una mazza.
Che poi, un OS, o un componente di basso livello, con che lo vorresti scrivere? Java (
Ma lasciali trollare i fanboy di Microzozz.
Tanto loro quando glie lo mettono in c..o grazie agli innumerevoli buchi di windoze non se ne accorgono nemmeno, tanto e' tutto non documentato, chiuso, e le patch arrivano quando microzozz vuole, se arrivano.
Meglio vivere nell'oscurita!
Io al contrario tuo mi sento persona "ignorante" quindi pongo una domanda e faccio 2 considerazioni su quanto sento e leggo, non in questa notizia in particolare, ma su quello che ho sempre letto riguardo la sicurezza dei sistemi.
E io al contrario di te e di Emiliano non mi fiondo come un frustrato su ogni notizia come questa. A festeggiare cosa poi?
Una vulnerabilità ogni anno?
Come ho detto....Mazza oh...Come essere Interisti e festeggiare la Juve che perde una volta all'anno.
Uguale...
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".