The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Pwnie Awards 2021: наиболее существенные уязвимости и провалы в безопасности

06.08.2021 14:50

Определены победители ежегодной премии Pwnie Awards 2021, выделяющей наиболее значительные уязвимости и абсурдные провалы в области компьютерной безопасности. Pwnie Awards считается аналогом Оскара и Золотой малины в области компьютерной безопасности.

Основные победители (список претендентов):

  • Лучшая уязвимость, приводящая к повышению привилегий. Победа присуждена компании Qualys за выявление уязвимости CVE-2021-3156 в утилите sudo, позволяющей получить привилегии root. Уязвимость присутствовала в коде около 10 лет и примечательна тем, что для её выявления потребовался тщательный разбор логики работы утилиты.
  • Лучшая серверная ошибка. Присуждается за выявление и эксплуатацию наиболее технически сложной и интересной ошибки в сетевом сервисе. Победа присуждена за выявление нового вектора атак на Microsoft Exchange. Информация не обо всех уязвимостях данного класса опубликована, но уже раскрыты сведения об уязвимости CVE-2021-26855 (ProxyLogon), позволяющей извлечь данные произвольного пользователя без аутентификации, и CVE-2021-27065, дающей возможность выполнить свой код на сервере с правами администратора.
  • Лучшая криптографическая атака. Присуждается за выявление наиболее значимых брешей в реальных системах, протоколах и алгоритмах шифрования. Премия присуждена компании Microsoft за уязвимость (CVE-2020-0601) в реализации цифровых подписей на основе эллиптических кривых, позволяющую сгенерировать закрытые ключи на основе открытых ключей. Проблема позволяла создать поддельные TLS-сертификаты для HTTPS и фиктивные цифровые подписи, которые верифицировались в Windows как заслуживающие доверия.
  • Наиболее инновационное исследование. Премия присуждена исследователям, предложившим метод BlindSide для обхода защиты на основе рандомизации адресов (ASLR) при помощи утечек по сторонним каналам, возникающим в результате спекулятивного выполнения инструкций процессором.
  • Самый большой провал (Most Epic FAIL). Премия присуждена компании Microsoft за многократно выпущенное неработающее исправление уязвимости PrintNightmare (CVE-2021-34527) в системе вывода на печать Windows, позволяющей выполнить свой код. Вначале компания Microsoft пометила проблему как локальную, но затем выяснилось, что атака может быть совершена удалённо. Затем Microsoft четыре раза публиковала обновления, но каждый раз исправление закрывало лишь частный случай и исследователи находили новый способ совершения атаки.
  • Лучшая ошибка в клиентском ПО. Победил исследователь, выявивший уязвимость CVE-2020-28341 в безопасных криптопроцессорах Samsung, получивших сертификат защищённости CC EAL 5+. Уязвимость позволяла полностью обойти защиту и получить доступ к выполняемому на чипе коду и хранимым в анклаве данным, обойти блокировку хранителя экрана, а также внести изменения в прошивку для создания скрытого бэкдора.
  • Hаиболее недооценённая уязвимость. Премия присуждена компании Qualys за выявление серии уязвимостей 21Nails в почтовом сервере Exim, 10 из которых могут быть эксплуатированы удалённо. Разработчики Exim скептически восприняли возможность эксплуатации проблем и потратили более 6 месяцев на разработку исправлений.
  • Самая ламерская реакция производителя (Lamest Vendor Response). Номинация за самую неадекватную реакцию на сообщение об уязвимости в собственном продукте. Победителем признана компания Cellebrite, занимающейся созданием приложений для криминалистического анализа и извлечения данных правоохранительными органами. Cellebrite неадекватно отреагировала на сообщение об уязвимостях, отправленное Мокси Марлинспайком (Moxie Marlinspike), соавтором протокола Signal. Мокси заинтересовался Cellebrite после публикации в СМИ заметки о создании технологии, позволяющей взламывать зашифрованные сообщения Signal, впоследствии оказавшейся фейком из-за неверной интерпретации информации в статье на сайте Cellebrite, которая затем была убрана ("атака" требовала физического доступа к телефону и возможности снятия блокировки экрана, т.е. сводилась просмотру сообщений в мессенджере, но не вручную, а с использованием специального приложения, симулирующего действия пользователя).

    Мокси изучил приложения Cellebrite и нашёл там критические уязвимости, которые позволяли организовать выполнение произвольного кода при попытке сканирования специально оформленных данных. В приложении Cellebrite также был выявлен факт использования устаревшей библиотеки ffmpeg, не обновлявшейся 9 лет и содержащей большое число неисправленных уязвимостей. Вместо того, чтобы признать проблемы и заняться исправлением проблем компания Cellebrite опубликовала заявление, что заботится о целостности данных пользователей, поддерживает безопасность своих продуктов на должном уровне, регулярно выпускает обновления и поставляет лучшие приложения в своём роде.

  • Самое большое достижение. Премия присуждена Ильфаку Гильфанову, автору дизассемблера IDA и декомпилятора Hex-Rays, за вклад в разработку инструментов для исследователей безопасности и способность поддерживать актуальный продукт на протяжении 30 лет.


  1. Главная ссылка к новости (https://pwnies.com/winners/...)
  2. OpenNews: Pwnie Awards 2020: наиболее существенные уязвимости и провалы в безопасности
  3. OpenNews: Pwnie Awards 2019: наиболее существенные уязвимости и провалы в безопасности
  4. OpenNews: Pwnie Awards 2017: наиболее существенные уязвимости и провалы в безопасности
  5. OpenNews: В рамках Pwnie Awards 2013 определены наиболее существенные уязвимости и провалы в безопасности
  6. OpenNews: Озвучены имена победителей Pwnie Awards 2011
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/55600-pwnies
Ключевые слова: pwnies, award
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (123) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 15:01, 06/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +20 +/
    >Самый большой провал (Most Epic FAIL). Премия присуждена компании Microsoft

    Это было легко угадать.

     
     
  • 2.2, пох. (?), 15:09, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Естественно - мы же ж корпорация зла!
    То ли дело 20 уязвимостей в exim - половина из которых то ли исправлена, то ли нет, потому что разработчикам наплевать.

     
     
  • 3.4, Аноним (1), 15:21, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Зато исправят сразу и не будет тупняка как у майкрософт.
     
     
  • 4.7, пох. (?), 15:24, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ты о чем, чувак? Они пол-года рассуждали что уязвимости не уязвимости, пока им несколько штук PoC не поднесли к носу. Причем никто уже даже не стал тратиться перепроверять, что хотя бы все уже найденое на самом деле исправлено.
    В отличие от msовских индусов, которые пытались исправить, но получилось как у индусов.

     
     
  • 5.8, Аноним (1), 15:28, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Лучше не пытаться исправить, чем пытаться и не исправить.
     
     
  • 6.63, аони (?), 08:13, 07/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    поехавший тролль
     
  • 4.17, Michael Shigorin (ok), 16:04, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот прежде чем такое на голубом глазу вещать -- прочитайте новость-то.

    Другое дело, что на exim пусть себе сидят упорные искатели острых ощущений -- для нас, обычных пользователей, есть как минимум postfix.  А вот в случае с погремушками от некрософта вариантов-то может и не оказаться.

     
     
  • 5.19, Аноним (1), 16:08, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а разве Альт не придумает альтернативу? У нас вроде как перевод промышленности на отечественное ПО. Не всё же Астре.
     
  • 5.21, suffix (ok), 16:15, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А Вы хоть читали что это за "20 уязвимостей в exim'?

    Совершенно правильно скептически их восприняли разумные люди ибо реально работающих эксплойтов на основе этих уязвимостей ни одного не оказалось :)

     
     
  • 6.59, Андрей (??), 01:40, 07/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Обычно, недооценённая - значит, что несмотря на скепсис и тормоза, оказалось, что эксплоиты были в ходу. Если их не было, чего же тогда "наиболее недооценённая уязвимость"?
     
     
  • 7.100, пох. (?), 12:55, 08/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Обычно, недооценённая - значит, что несмотря на скепсис и тормоза, оказалось, что
    > эксплоиты были в ходу.

    они настолько никому не нужны, что либо и не были, либо не утекли. Несколько безобидных poc было продемонстрировано, после полугода забивания болта и сказок что "ниуязвимы-ниуязвимы", но воз и ныне там.

    При том что сегодня это действительно единственный уцелевший полнофункциональный mta в впопенсорсе-мирке. Ну вот такова реальная востребованность впопенсорсия там, где денег принято все же платить.

    А что кто-то в очередной раз сопрет или поспамит почту каких-нибудь шаредхостящихся лохов (настолько т-пых и жадных что их денег даже на учетку на шареном cgp не хватило) - да кому нахрен их жалко...

     
  • 5.22, пох. (?), 16:27, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Другое дело, что на exim пусть себе сидят упорные искатели острых ощущений

    а мы так и будем поцфиксом exchange подпирать.

     
     
  • 6.37, Михрютка (ok), 19:15, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    а что им еще подпирать-то, цымбру, чтоль?
     
  • 6.103, Аноним (103), 13:34, 08/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > а мы так и будем поцфиксом exchange подпирать.

    Правильно, его тебе как раз и отменеджат через вон тот poc с RCE под админом. А будет мало - ну вон там еще критикал рядом для любителя винды есть :)

     
  • 5.30, Анонимище (?), 17:53, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Alterator не пoддерживает самбу, жаль.
     
  • 3.25, Juha (ok), 17:21, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Таки премия не за то что есть проблемы, а за то что мы фиксили, фиксили да не то.
     
  • 3.40, barmaglot (??), 19:24, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Кто вообще пользуется exim? 2.5 локалхостера? Нафиг он никому не сдался. А Exchange везде, и какой эпик файл сделать и использовать протокол в котором приватные ключи из публичных генерятся, офигеть, или это было сделано намерянно?
     
     
  • 4.73, пох. (?), 10:41, 07/08/2021 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Погоди-ка, погоди - а как же в3нд3капец, "никамунинужна этотвашеэкченж", "мы можем все так же 6ешплатна!"  ?

    Кругом куча впопеннетных подвальных мастеров делать то же самое нахаляву и даром (впрочем, возможно, если они не будут делать, то миску отберут).


     
  • 4.109, suffix (ok), 15:12, 08/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Кто вообще пользуется exim? 2.5 локалхостера? Нафиг он никому не сдался. А
    > Exchange везде

    Голоса в голове напели ?

    http://www.securityspace.com/s_survey/data/man.202106/mxsurvey.html

     
  • 3.68, СеменСеменыч777 (?), 09:46, 07/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Естественно - мы же ж корпорация зла!

    преувеличение. всего лишь корпорация мелких пакостей, оверинженеринга на пустом месте и кучи унаследованного индусского овнокода, который иногда выдает вот такие сюрпризы.

     
     
  • 4.104, Аноним (103), 13:36, 08/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > преувеличение. всего лишь корпорация мелких пакостей, оверинженеринга на пустом месте
    > и кучи унаследованного индусского овнокода, который иногда выдает вот такие сюрпризы.

    Выполнение кода под админом в Exchange - не такая уж и мелкая пакость, у белого дома подгорало.


     
     
  • 5.112, СеменСеменыч777 (?), 06:50, 09/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Выполнение кода под админом в Exchange - не такая уж и мелкая
    > пакость

    а это был сюрприз ! для выставивших OWA наружу без доп защиты.

    > у белого дома подгорало.

    заткнули же, списали на гусских хаксоров, самоубилось несколько причастных.
    а тех утечек никто и не видел.

     
  • 3.97, Аноним (-), 12:05, 08/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > То ли дело 20 уязвимостей в exim -

    А они тоже за 4 раза какой-то вулн исправить не смогли? :)

     
     
  • 4.98, пох. (?), 12:44, 08/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    а они даже не пытались - пока им в нос не ткнули poc. После этого четыре из 21 как-то вроде (всем уже надоело и никто не смотрел) заткнули, а дальше poc не было, поэтому забили, пообщещав когда-нибудь может быть.

    Т.е. даже смогли или нет - никому неинтересно. Настолько они нужны и полезны на фоне exchange.

     
     
  • 5.105, Аноним (103), 13:37, 08/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А ты его таки пропатчил? А то вон там рядом POC на это добро выложили, и на какие-то варианты около.
     
     
  • 6.108, пох. (?), 13:53, 08/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А ты его таки пропатчил?

    он за ips.
    Но таки да, разумеется, апдейты стоят.

    > А то вон там рядом POC на

    POC? Судя по вою ips, там десятки коннектов в минуту с попытками нам этот "POC" продемонстрировать.

     
  • 2.27, мля (?), 17:41, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Даже эпические провалы Microsoft не приблежают линукс к десктопу ни на миллиметр. У проклятая Корпорация Зла, ты во всём виновата! Ты нам в штаны ...
     
     
  • 3.32, Аноним (32), 18:01, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ещё один сектант который считает что линукс не готов к десктопу. Хотя он уже как с 2006-ого как готов.
     
     
  • 4.34, мля (?), 18:36, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Сектант сказал бы, что готов, я говорю обратное. Скажите, а какой именно десктоп по вашему готов?)
     
     
  • 5.35, Аноним (35), 18:54, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    lxde, openbox + tint2 - готовые решения, в отличии от kde, gnome, mate, cinammon и xfce не занимают много места. В отличии от lxqt готов к десктопу. В отличии от metro, aero (windows) не вызывают зависаний. В отличии от tinyWM - являются уже готовым решением. В отличии от macOS кнопки расположены где надо и для этого не надо покупать macbook с непонятно почему завышенной ценой.
     
     
  • 6.39, Михрютка (ok), 19:21, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>>lxde, openbox + tint2 - готовые решения

    facepalm_right_thru_my_head.jpg

     
     
  • 7.41, Аноним (32), 19:53, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Упс... Забыл что их немного надо готовить. Но это не сложно.
     
     
  • 8.50, Михрютка (ok), 22:06, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    за ето вас линуксоидов и не любят по молодости я сам думал, что cd usr ports x... текст свёрнут, показать
     
  • 7.42, мля (?), 20:12, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Сам использую openbox + tint2, но сказать что это готово для десктопа это сильно, да и не десктоп это)
     
  • 6.43, SinoptikUF (?), 20:12, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Для меня из-за отвратительной работы менеджера нехватки памяти Линукс не готов пока к десктопу.
    >> В отличии от macOS кнопки расположены где надо и для этого не надо покупать macbook с непонятно почему завышенной ценой.

    Ты бы лучше борщевик пошёл посещать, чем писать очередную х... ню на Opennet-е. Займись полезным делом, парень!

     
     
  • 7.47, Аноним (32), 20:46, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >нехватки памяти

    TinyCore в помощь. В репозиториях сам выберешь файловый менеджер. А проблем с памятью не будет, так как легче операционной системы для x86_64 не найдешь. http://tinycorelinux.net/12.x/x86_64/release/

     
     
  • 8.51, Роман (??), 22:06, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Если забыть о том что нынче браузеры создают такую нагрузку что на остальное для... текст свёрнут, показать
     
     
  • 9.54, Аноним (32), 23:29, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А вы также выбирайте браузер который является минималистичным Не берите chrome ... текст свёрнут, показать
     
     
  • 10.90, ан (?), 02:42, 08/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вы Мидори то последним пользовались прежде чем рекомендовать Там новый проек... текст свёрнут, показать
     
  • 10.94, Роман (??), 11:11, 08/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ну абстрактно понятно что меньше потребление лучше, а на практике для меня это н... текст свёрнут, показать
     
  • 7.78, anonymous (??), 11:42, 07/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Со всеми этими oomd проблема не ощущается, на самом деле.
     
  • 4.69, СеменСеменыч777 (?), 09:49, 07/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    предлагаю компромисс: для каких-то (каких ?) видов юзеров готов, для других (каких ?) - не готов, для остальных - готов частично.
     
  • 3.36, ms (??), 19:05, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    ну естественно, нет десктопа - нет провалов.
    Да и серверы-то кособокие, одни дыркеры в дыркерах под дыркерами.

    А любая компания выше подвального уровня - ставит exchange. Не 21-дырчатый exim же ж, который из десятка функций только mta. Остальные 1500 дыр будут во всяких поделках, которыми вы его попытаетесь подпереть, чтобы получилась бледная тень эксченджа.

    > Ты нам в штаны ...

    да мы ж вам и китель спереди весь заблевали! Мы ж - корпорация, зла!

     
     
  • 4.53, ананим.orig (?), 22:30, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Мы ж - корпорация, зла!

    ты то вообще кто?

     
  • 3.44, Аноним (44), 20:20, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ты всё не правильно понял как всегда.

    Ни один типа громкий успех не сдела ни один их продукт действительно удобным к использованию. И никогда не сделает. Ибо это никогда не было о пользователях и никогда о пользователях не будет.

    Пользоваться всем этим просто не возможно. Интерфейс остался на уровне Win3.11 разве что окошки перерисовали, иконочки заменили да обои повесили. Непригодно и отсталый век.

     
     
  • 4.45, мля (?), 20:28, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Win3.11 наиболее пригодный десктоп для гуманоида с ПК и мышкой, выдумать что-то более вменяемое просто невозможно.
     
     
  • 5.48, Аноним (32), 20:49, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Согласен. Чем дальше они уходят от windows 3.11 чем более ужасные решения они делают. Сами они говорят что это современно, но на самом деле они так завуалированно скрывают слово "неудобно".
     
  • 5.101, Аноним (-), 13:07, 08/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Особенно удобно там было если забыть толкнуть очередь сообщений в программе, после чего даже задачу снять не получалось :]
     
  • 3.106, Аноним (103), 13:38, 08/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Даже эпические провалы Microsoft не приблежают линукс к десктопу ни на миллиметр.

    Для таких как ты есть эта, как ее, хромоось. Линух для потрб-дей такой же как и винда. Ибо без лоха жизнь плоха.

     

  • 1.3, DrSheppard (ok), 15:10, 06/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А кто получил премию за Most Epic Achievement?
     
     
  • 2.5, Аноним (5), 15:22, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Об этом же написано, Ильфак Гильфанов.
     
     
  • 3.38, Михрютка (ok), 19:18, 06/08/2021 Скрыто модератором
  • –4 +/
     
     
  • 4.99, пох. (?), 12:45, 08/08/2021 Скрыто модератором
  • +/
     
  • 3.107, Аноним (103), 13:39, 08/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Об этом же написано, Ильфак Гильфанов.

    ЧСХ в некоторых кругах он известен как illf%$k. И таки за дело - отношение к клиентам у фирмы очень так себе.

     
     
  • 4.115, n00by (ok), 15:32, 09/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Граф Володий его так называл?
     

  • 1.6, iPony129412 (?), 15:24, 06/08/2021 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –2 +/
     
     
  • 2.9, Аноним (1), 15:29, 06/08/2021 Скрыто модератором
  • +/
     
     
  • 3.10, Аноним (-), 15:34, 06/08/2021 Скрыто модератором
  • +4 +/
     
     
  • 4.11, Аноним (1), 15:43, 06/08/2021 Скрыто модератором
  • +1 +/
     
  • 3.12, iPony129412 (?), 15:53, 06/08/2021 Скрыто модератором
  • –1 +/
     
     
  • 4.14, Аноним (1), 15:57, 06/08/2021 Скрыто модератором
  • +2 +/
     
     
  • 5.16, iPony129412 (?), 16:02, 06/08/2021 Скрыто модератором
  • –6 +/
     
     
  • 6.20, Аноним (1), 16:10, 06/08/2021 Скрыто модератором
  • +/
     
     
  • 7.56, Лист (?), 00:27, 07/08/2021 Скрыто модератором
  • –1 +/
     
     
  • 8.58, Аноним (32), 01:12, 07/08/2021 Скрыто модератором
  • +/
     
  • 5.28, Ordu (ok), 17:52, 06/08/2021 Скрыто модератором
  • +/
     
     
  • 6.33, Аноним (32), 18:02, 06/08/2021 Скрыто модератором
  • +/
     
  • 6.89, Аноним (89), 20:37, 07/08/2021 Скрыто модератором
  • +/
     
  • 2.55, pda (ok), 23:36, 06/08/2021 Скрыто модератором
  • +/
     

     ....ответы скрыты модератором (13)

  • 1.13, Ordu (ok), 15:56, 06/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    > Мокси заинтересовался Cellebrite после публикации в СМИ заметки о создании технологии, позволяющей взламывать зашифрованные сообщения Signal ...

    -- ах вы, суки... -- подумал он.

    > Мокси изучил приложения Cellebrite и нашёл там критические уязвимости, которые позволяли организовать выполнение произвольного кода...

    -- я тоже так могу.

     
  • 1.23, YetAnotherOnanym (ok), 17:14, 06/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Как страшно жыть...
     
     
  • 2.88, Led (ok), 20:31, 07/08/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Ну так перестань.
     
  • 2.92, Аноним (92), 09:49, 08/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    а ты жры и жыть будет не стражно
     
     
  • 3.96, YetAnotherOnanym (ok), 11:25, 08/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ога, и жыть страшно будет, и жывот ещё отрастёт.
     

  • 1.24, abi (?), 17:19, 06/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >> Премия присуждена компании Microsoft за уязвимость (CVE-2020-0601) в реализации цифровых подписей ..... которые верифицировались в Windows как заслуживающие доверия.

    В смысле одной рукой вносили, а второй посылали на конкурс? Однако.

     
  • 1.26, Sluggard (ok), 17:35, 06/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Негрософт прям впереди планеты всей — победы сразу в нескольких номинациях с ними связаны. Молодцы.
     
     
  • 2.72, Аноним (-), 10:22, 07/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Точнее Индософт.
     

  • 1.29, Аноним (-), 17:52, 06/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Microsoft каждый год лидирует в номинациях. Хм?
     
  • 1.31, Sw00p aka Jerom (?), 17:57, 06/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    >Самое большое достижение. Премия присуждена Ильфаку Гильфанову,

    А чего он достиг то? на IPO вышел?

     
     
  • 2.60, Аноним (-), 06:16, 07/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, из-за того, что он десятки лет стабильно пилит одно и то же. За долгоживучесть.
     
     
  • 3.75, Sw00p aka Jerom (?), 11:28, 07/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    следуя такой логике я бы вручил Дяде Биллу эту награду, а он еще то жмот.
     
  • 2.66, Аноним (66), 09:20, 07/08/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > А чего он достиг то?

    Такой вопрос может задать только человек никогда не видевший IDA.

     
     
  • 3.76, Sw00p aka Jerom (?), 11:29, 07/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    такой комент может оставить тот, у кого все крутиться вокруг IDA. Митрюха выше правильно все сказал.
     
  • 2.79, n00by (ok), 12:28, 07/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >>Самое большое достижение. Премия присуждена Ильфаку Гильфанову,
    > А чего он достиг то? на IPO вышел?

    Криска Касперски написал об этом книжку, а Sw00p aka Jerom - комментарий на Опеннет.

     
     
  • 3.82, Sw00p aka Jerom (?), 14:59, 07/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Криска Касперски написал об этом книжку

    пфффф и про микрософт оффис писали и что? писать книжки про платный продукт - попахивает маркетингом. Грош цена таким книгам, если с каждым релизом новый софт в итоге.

    > а Sw00p aka Jerom - комментарий на Опеннет.

    если нет коментариев к чему-либо, считайте, что нет того чего-либо.


     
     
  • 4.83, n00by (ok), 16:57, 07/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А публиковать мнение о предмете, не имея о нём представления -- чем попахивает и какова ему цена?

    Далее фрагмент файлика с компакта, который шёл с книжкой предыдущей. В той, о которой писал я, можно на первой странице прочесть про демо-версию, что бы написать очередное "пфф".

    I have uploaded to Simtel.Net:

    simtelnet/msdos/disasm/
    idafw.zip       The Interactive Disassembler

    IDA stands for The Interactive DisAssembler.  Unlike many other
    disassemblers, IDA works together with you, allowing you to modify the
    disassembled text 'on the fly'.  It supports many processors, various
    input file formats, can produce various output files, etc.  IDA has a
    built-in C-like language and sports TVision user interface.

    Special requirements: 386 CPU or higher.

    Changes: Additional features added.

    idafw.zip has replaced ida35bc.zip, ida35bd.zip, ida35bo.zip, and
    ida35bx.zip.

    Freeware.  Uploaded by the author.

     
     
  • 5.84, Sw00p aka Jerom (?), 17:14, 07/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >А публиковать мнение о предмете, не имея о нём представления -- чем попахивает и какова ему цена?

    с чего это вы взяли, что я не имею представления, но точно скажу, что вы не имеете представления покупал ли я этот софт или нет, покупал ли я книжку Криса или нет.

    А если вернуться к сути вопроса, вы так и не ответили. А чего он достиг то? Промолчу про формулировку номинации "Самое большое достижение.", это что вообще такое?

     
     
  • 6.86, n00by (ok), 17:26, 07/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >>А публиковать мнение о предмете, не имея о нём представления -- чем попахивает и какова ему цена?
    > с чего это вы взяли, что я не имею представления

    Из цитаты, которая выкинута в ответе.

    > но точно
    > скажу, что вы не имеете представления покупал ли я этот софт
    > или нет, покупал ли я книжку Криса или нет.

    ПО не покупали и профессионально не использовали. "Покупал" и "читал" ортогональны, стало быть и книжку не читали.

    > А если вернуться к сути вопроса, вы так и не ответили. А
    > чего он достиг то? Промолчу про формулировку номинации "Самое большое достижение.",
    > это что вообще такое?

    Пффф.

    Кстати, это Вы обещали Ordu что-то там по поводу патчей Минессоты?


     
     
  • 7.87, Sw00p aka Jerom (?), 17:47, 07/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Из цитаты, которая выкинута в ответе.

    Не вижу логического вывода вашего умозаключения.

    > ПО не покупали и профессионально не использовали. "Покупал" и "читал" ортогональны, стало
    > быть и книжку не читали.

    Аналогично выше сказанному.

    > Пффф.
    > Кстати, это Вы обещали Ordu что-то там по поводу патчей Минессоты?

    Ясно, можно говорить обо всем, но не по сути дела. Не вам же обещал. И там вовсе не по теме минесоты, и к сути дела не имело отношение.

     
     
  • 8.91, n00by (ok), 07:21, 08/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Сочувствую Так нет никакого Вам дела до IDA Pro, суть в кидании какахами Ложь ... текст свёрнут, показать
     
     
  • 9.95, Sw00p aka Jerom (?), 11:21, 08/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    а вот это клевета, задан был конкретный вопрос, на который как стало ясно у вас ... текст свёрнут, показать
     
     
  • 10.114, n00by (ok), 15:29, 09/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я ответ написал в первом своём здесь сообщении Если проблема с памятью, перечит... текст свёрнут, показать
     
     
  • 11.116, Sw00p aka Jerom (?), 18:18, 09/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    На вопрос, чего он достиг - ответ, Криска Касперски написал об этом книжку -... текст свёрнут, показать
     
     
  • 12.117, n00by (ok), 12:29, 11/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Упрощаю вопрос Ты достиг совершеннолетия, что бы вернуть украденное время ... текст свёрнут, показать
     
     
  • 13.118, Sw00p aka Jerom (?), 13:06, 11/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    не вижу определение понятия времени, уточним это, а потом отвечу ... текст свёрнут, показать
     
     
  • 14.119, n00by (ok), 16:03, 11/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Тебе уже исполнилось 18 лет Если и этот вопрос не ясен, спроси родителей ... текст свёрнут, показать
     
     
  • 15.123, Аноним (123), 15:53, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Тактика всех бездарей Чтобы прикрыть логические и прочие свои слабости, попыт... текст свёрнут, показать
     
     
  • 16.124, n00by (ok), 16:22, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Настоятельно рекомендую тебе начать подписываться Для твоей же безопасности Мо... текст свёрнут, показать
     
     
  • 17.126, Аноним (126), 07:59, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Какая очередная мозоль вы хотя бы одну для начала найдите А, ну раз вы заговор... большой текст свёрнут, показать
     
     
  • 18.128, n00by (ok), 12:58, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Смотри какой расклад Когда я вижу от тебя многабукв, не читаю Вообще Ты давно... текст свёрнут, показать
     
     
  • 19.129, Аноним (129), 13:58, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    У меня приемлемое количество букв для понимания Пара абзацев и еще два коротких... текст свёрнут, показать
     

  • 1.46, Аноним (46), 20:43, 06/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Да тут интел должен был быть на первом месте во всех минусовых номинациях. Обгадились с такой кучей уязвимостей в процессорах. И самое главное - потеря производительности была. И возможность взломать любую операционную систему тут же.
     
     
  • 2.93, Аноним (-), 11:07, 08/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Тут чисто софтверные косяки. Интел - железячник.
     

  • 1.49, . (?), 21:34, 06/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    в прошлом году за CVE-2020-0601 Microsoft давали уже Most Epic FAIL.
     
  • 1.52, InuYasha (??), 22:16, 06/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Присуждаю Moxie звание ?удака года, который, ради собственного ЧСВ лишил людей возможности противостоять реальным шпионам.
     
     
  • 2.67, Аноним (66), 09:21, 07/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > реальным шпионам.

    Кому?

     
     
  • 3.71, Аноним (-), 10:20, 07/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нутыпонел.
     

  • 1.64, crypt (ok), 08:14, 07/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Премия присуждена компании Microsoft за уязвимость (CVE-2020-0601) в реализации цифровых подписей... Проблема позволяла создать поддельные TLS-сертификаты для HTTPS и фиктивные цифровые подписи, которые верифицировались в Windows как заслуживающие доверия.

    вот здесь я не понял. за что дали премию Micro$oft?! или это перевод такой???

     
     
  • 2.110, anonymous (??), 16:15, 08/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    NSA/CVE-2020-0601

    Publication Citation: None (see link)

    Researcher Names: None

    Link: https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-

    NSA discovered a bug in the verification of signatures in Windows which breaks the certificate trust chain.  This is the first time a crypto bug had real world impact, and NSA disclosed it through the vulnerability equities process (VEP).

     

  • 1.65, Аноним (-), 09:15, 07/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Индусы в майкрософт - результат очевидный. Язык не важен, индус на любом языке может писать дичь
     
     
  • 2.70, Аноним (-), 10:19, 07/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ловко ты так защищаешь Майкрософт. Когда в 90-х они выкатили Internet Explorer в их логотипе Земной шар крутился в обратную сторону, а код браузера они скопировали с Нетскейпа.

    В Майкрософт всегда работали рукожопы, индусы тут не причём.

     
     
  • 3.74, пох. (?), 10:50, 07/08/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    бредни впопеннетовцев, рулоны без счета.

    Если они код "скопировали с нетскейпа" - почему нетскейп т-по вис на попытках отрендерить большую или многократно вложенную таблицу, а потом показывал пустое место из-за того что пятнадцатый вложенный table был незакрытым?

    А ie "почему-то" отрисовывал все мгновенно и без всяких страданий по незакрытом тегу?

    Почему нетскейп никогда не умел entities на языках, отличных от iso-8859-1 и показывал вместо них закорючки (причем этот код и в первые открытые версии перекочевал - когда-то Боря Тоботрас умудрился найти и исправить т-пейший баг, совершенно не беспокоивший мурзильных белых англосаксонских разработчиков-рукожопов) - а ie ничем подобным не болел?

    Почему нетскейп до 97го года на линуксе был гвоздем прибит к koi, на винде к 1251,а в осьдва просто не работал, и мы ипплись с перекодирующими прокси под КАЖДУЮ операционку, а ie свободно переключал кодировки, и даже не всегда требовал это делать вручную?

     
     
  • 4.77, Sw00p aka Jerom (?), 11:34, 07/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >из-за того что пятнадцатый вложенный table был незакрытым?

    можно ли вас назвать человеком мыслящим, когда у вас мозгов нет? Аналогия с  table когда он неправильно размечан.

     
  • 4.81, Аноним (81), 14:09, 07/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >А ie "почему-то" отрисовывал все мгновенно и без всяких страданий по незакрытом тегу

    И поэтому вы запускали ie для того чтобы поскорее скачать лису или хромик, чтобы дальше не пользоваться этим ужасом?

     
     
  • 5.85, анонн (ok), 17:22, 07/08/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > чтобы поскорее скачать лису или хромик, чтобы дальше не пользоваться этим ужасом?
    > скачать лису или хромик

    Кто-то, опоздавший родиться (но с Ценнейшим Мнением), совсем-совсем не палится?

     

  • 1.102, Аноним (102), 13:27, 08/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Поздравляем Ильфака Гильфанова!
     
     
  • 2.111, Аноним (-), 19:23, 08/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Il-fuck Gil-fan-off
     

  • 1.113, Zulu (?), 13:26, 09/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Самая ламерская реакция производителя (Lamest Vendor Response)

    English, motherf**er, do you speak it?

    lame в данном случае это "lacking needful or desirable substance" цитируя Merriam Webster. Я бы переводил как "самая лажовая реакция".

     
     
  • 2.120, Аноним (120), 19:52, 12/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А чем слово "лажовая" от "ламерская" отличается?
     
     
  • 3.121, n00by (ok), 15:18, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Лажают все люди. Ламера при этом с умным видом строят из себя профи.
     
     
  • 4.122, Аноним (123), 15:43, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это вы про себя?
     
     
  • 5.125, n00by (ok), 16:26, 13/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Про тех у кого не хватило ума проверить, что ник lamer занят.
     
     
  • 6.127, Аноним (126), 08:01, 14/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Такая значит у вас очередная "логика".
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру