Вынес в явном виде из ветки в "ФП":
Проверьте свой IQ по безопасности кодаАвтор: kochetkov.vladimir
Дата: 21.11.08
и в неявном из
Сказка о циничном ученом, простреленных ногах разработчиковАвтор: kochetkov.vladimir
Дата: 29.10.08
<Краткое содержание предыдущих серий>
vayerx в обоих темах неоднократно высказывал мысль о том, что доля уязвимостей переполнения буфера (aka выполнение произвольного кода, aka доступ к системе, aka повреждение памяти и т.п., обусловенных фон-неймановской архитектурой, предполагающих совместное хранение и обработку данных и кода) столь ничтожна, что преимущество дотнета, заключающееся в том, что в приложениях под ней подобные уязвимости наплодить достаточно сложно, вовсе и не преимущество а так... пшик просто, по сравнению с армадой других уявзимостей, существование которых возможно и в дотнет-приложениях. Из чего делался вывод, что при равных затратах ресурсов, общий уровень безопасности нативных и управляемых приложений, в общем-то, тоже равен. С чем я, разумеется, согласиться не смог.
Я привел в пример статистику с secunia и securityfocus в подтверждение того, что по факту, уязвимости переполнения буфера представляют собой вполне серьезную угрозу, которой не подвержены приложения на управляемых платформах.
</Краткое содержание предыдущих серий>
KV>>Можно один вопрос? Если все так радужно, почему большая часть уязвимостей, обнаруживаемая в ОСях и, скажем — броузерах, относится именно к этому классу уязвимостей (статистика, подтверждающая это есть на secunia.com и securityfocus.com)?
V>О какой именно статистике на secunia.com и securityfocus.com идет речь? Приведите, пожалуйста, конкретные ссылки.
V>Попытаюсь ответить априорно, правда, вопросом на вопрос. Какой процент софта, в котором обнаруженны уязвимости, написан/использует код "олдскульникамов" и/или ansi c? От какого объема софта считается процент (от суммарного во всем мире? от неуправляемого? etc?)? Как именно рассчитвается этот процент (кол-во приложений? кол-во пользователей? суммарное время использования? кол-во строчек кода? etc?)?
В моем сообщении, речь шла о проценте уязвимостей, связанных с переполнением буфера в любом, конкретно взятом приложении по отношению к остальным уязвимостям в этом же продукте. Я думаю, что пользователю этого приложения до одного места, с использованием каких технологий и языков оно написано, ему важно (если вообще важно), чтобы через это приложение его не смогли атаковать. Я не прав?
Ок, возьмем для примера firefox 3.x (это "шоб два раза не ходить" и нарваться тут не только на плюсников, но и на опенсорсников
) — вполне себе современное и весьма популярное приложение, вопросы безопасности которого (в силу хотя бы того, что это веб-браузер) уж явно стоят не на последнем месте как у его разработчиков, так и его пользователей.
Согласно
статистике с secunia, за все время существования этой версии, в ней было обнаружено 28 уязвимостей, выразившихся в 7 бюллетенях безопасности. При необходимо учесть, что многие из упомянутых там уязвимостей обусловлены "by multiple errors". Это так, на всякий случай, если кому-то уявзимостей покажется мало
И если внимательно изучить каждый бюллетень, то станет понятно, что как минимум в 4 из них:
http://secunia.com/advisories/32713/
http://secunia.com/advisories/32040/
http://secunia.com/advisories/32011/
http://secunia.com/advisories/31132/
сообщается об уявзимостях переполнения буфера. А если озадачиться их подсчетом, то окажется, что тот 31% уязвимостей, обозванных secunia'ей в первой ссылке как "system access" и есть уязвимости переполнения буфера.
И получается интересная картина: оказывается, доля уязвимостей переполнения буфера не так уж и мала (больше доли любых других уязвимостей), но вот некоторые плюсники считают что на них все равно можно забить. И что тут есть причина, а что следствие, это еще разобраться надо
P.S: Хочу обратить внимание, что в бюллетене
http://secunia.com/advisories/31132/ сообщается об уязвимости переполнения буфера, применимой только к MacOSX. Это чтобы нарваться еще и на юниксоидов и Мамута
Ну вот, пожалуй и все. Можете рвать
