forum.opennet.ru

Составление сообщения

Исходное сообщение

"В Ghostscript выявлены две новые критические уязвимости"
Отправлено Аноним, 13-Окт-18 09:47

> Случайно дать возможность исполнять произвольный код by design нереально)
Просто многие вещи, особенно старые, не создавались с security in mind. Ну вон в WMF вообще можно было принести машинный код. Фича это такая была. И те кто честно следовал спекам на формат (в основном сам MS) очень сильно радовались, когда хакерье накопало давно всеми забытую фичу и начало раздавать правильные файлы везде и всюду, например, в вебе. Где браузер чего доброго это попытается показать (и выполнит обработчик) вообще не спрашивая юзера про всякие глупости.
Это же и unix way частично касается. Вызывать кучу программ из скриптов и перекидываться между ними данными - это круто и гибко. Но вот устойчивость этого процесса к враждебно настроенному источнику данных - весьма паршивая, например. Там довольно много чего может пойти не так.
> imagemagic всего лишь звено в этой цепочке. Генератор превьюх ведь не запускает
> GS сам -- он передаёт управление imagemagic.
Вот это - совершенно не обязательно. И так огульно за все генераторы превьюх расписываться как они кого вызывают - форменное донкихотство. И вообще см. выше, тех кто GS пользуется я 4 страницы насчитал. Я бы не рискнул утверждать что они все imagemagic зовут. А вот GS они точно зовут, раз он в зависимостях есть.

Исходное сообщение
"В Ghostscript выявлены две новые критические уязвимости" Отправлено Аноним, 13-Окт-18 09:47
> Случайно дать возможность исполнять произвольный код by design нереально) Просто многие вещи, особенно старые, не создавались с security in mind. Ну вон в WMF вообще можно было принести машинный код. Фича это такая была. И те кто честно следовал спекам на формат (в основном сам MS) очень сильно радовались, когда хакерье накопало давно всеми забытую фичу и начало раздавать правильные файлы везде и всюду, например, в вебе. Где браузер чего доброго это попытается показать (и выполнит обработчик) вообще не спрашивая юзера про всякие глупости. Это же и unix way частично касается. Вызывать кучу программ из скриптов и перекидываться между ними данными - это круто и гибко. Но вот устойчивость этого процесса к враждебно настроенному источнику данных - весьма паршивая, например. Там довольно много чего может пойти не так. > imagemagic всего лишь звено в этой цепочке. Генератор превьюх ведь не запускает > GS сам -- он передаёт управление imagemagic. Вот это - совершенно не обязательно. И так огульно за все генераторы превьюх расписываться как они кого вызывают - форменное донкихотство. И вообще см. выше, тех кто GS пользуется я 4 страницы насчитал. Я бы не рискнул утверждать что они все imagemagic зовут. А вот GS они точно зовут, раз он в зависимостях есть.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> Случайно дать возможность исполнять произвольный код by design нереально)

> Просто многие вещи, особенно старые, не создавались с security in mind. Ну 
> вон в WMF вообще можно было принести машинный код. Фича это 
> такая была. И те кто честно следовал спекам на формат (в 
> основном сам MS) очень сильно радовались, когда хакерье накопало давно всеми 
> забытую фичу и начало раздавать правильные файлы везде и всюду, например, 
> в вебе. Где браузер чего доброго это попытается показать (и выполнит 
> обработчик) вообще не спрашивая юзера про всякие глупости.

> Это же и unix way частично касается. Вызывать кучу программ из скриптов 
> и перекидываться между ними данными - это круто и гибко. Но 
> вот устойчивость этого процесса к враждебно настроенному источнику данных - весьма 
> паршивая, например. Там довольно много чего может пойти не так.

>> imagemagic всего лишь звено в этой цепочке. Генератор превьюх ведь не запускает 
>> GS сам -- он передаёт управление imagemagic.

> Вот это - совершенно не обязательно. И так огульно за все генераторы 
> превьюх расписываться как они кого вызывают - форменное донкихотство. И вообще 
> см. выше, тех кто GS пользуется я 4 страницы насчитал. Я 
> бы не рискнул утверждать что они все imagemagic зовут. А вот 
> GS они точно зовут, раз он в зависимостях есть.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру