Vlákno názorů k článku
Copy Fail: devět let stará díra umožňuje získat roota ve všech distribucích od registrovany_ava - Ono to ... prostě ... funguje ...

kdyby to nikdo nedělal, tak se na to nikdy nepříjde a ta chyba tam sedí dál. A dělá se to, protože kód je OSS. U uzavařeného kódu vůbec o podobných zranitelnostech nevíš a ani je nedokážeš hledát.

Dnes je rozšíření macos mnohem vyšší než před lety, ale počet zranitelností stejnou mírou neroste.

To se úplně neslučuje s tím, že si linuxáci vždycky dělali srandu z microsoftu, kolik aktualizací vydává, a kolik chyb a slabin má nahlášeno. Představa, že ten nepoměr je dán tím, že zlej kořistnickej kapitalista platí špatný programátory, je dost scestná; daleko realističtější je, že ten zlej bohatej kapitalista má prachy na to, aby partu těch kteří to budou dělat na plný úvazek skutečně zaplatil, místo by to dělali zadax ve svým volným čase pro dobrej pocit.

To ze nekdo zkontroluje kod, neznamena ze v nem objevi vsechny chyby. Tedy tvoje uvaha ma chybu.
U otevreneho kodu je alespon nejaka sance, ze tu chybu nekdo najde, narozdil od uzavreneho kodu.

Tohle je ale fail jak kráva. A to, že se někdo tak dlouho neptal, jestli je ta ochrana proti zápisu dostatečná (obzvlášť po zkušenostech s meltdown) je alarmující. Jako nechci být generál po bitvě, ale z toho, že je takhle lehkovážně namapovaná page cache, mě otřásla zimnice.
IMHO tady jde o to, že tak velký projekt, byť OS, se už kontroluje dost špatně.

Lenze jestvuje Bystander effect a kazdy si mysli, ze to uz niekto iny pozrel. Ale neznamena to, ze sa na to realne pozrel. Teraz AI nachadza vela chyb, pre to ze sa na ten kod nik pred AI nepozrel.

a tady nastupuje kouzlo toho zlýho tlustýho kapitálu. bystander effect vyloučí jednoduše tím, že někdo zcela konkrétní dostane přidělen úkol se na to podívat, a pak se pod výsledek podepsat, a dostane zaplaceno za to, že to udělá dobře. a pokud se časem přijde na to, že se na to vyignoroval a prostě zkasíroval prachy, má fakticky na krku trestný čin podvodu. a zrovna v USA se sazbou podstatně tvrdší než tady, takže se dá daleko spíš spolehnout na to, že to fakt udělal.

jak přesně by tahle logika měla fungovat? kolik lidí to u OSS reálně dělá, vs kolik jich to dělá prokazatelně, protože je za to MS platí?
a jaká je kvalita jejich práce, když za to nedostávají zaplaceno, a dělají to zadax ve svým volným čase?

Ja nerikam jak to ma fungovat, ja napsal ze tvoje uvaha mela chybu.
Jinak linuxove jadro je vyvijeno i placenyma lidma, to sam vis. A jestli dobre koukam, tenhle konkretni chybovy kod byl vyvijen v ramci V&V, tedy grantove penize.

prošlo mi to i u debian 12, dokonce i debian 10 je zranitelný, jen ten už nemá podporu. Problém je, že ten PoC exploit je takový prostě jen PoC...