Hlavní navigace

Názor ke zprávičce Závažná zranitelnost linuxového jádra a RTLWIFI od Michal Kubeček - Ona hlavně není zranitelnost jako zranitelnost a "devalvace...

  • 18. 10. 2019 17:08

    Michal Kubeček

    Ona hlavně není zranitelnost jako zranitelnost a "devalvace CVE" v posledních letech nabývá netušených rozměrů. Tohle je aspoň reálná chyba zneužitelná zvenčí (ale ne úplně na dálku), i když tu část o remote code execution bych bral hodně s rezervou (za starých dobrých časem bylo slušností mít aspoň nějaký proof of concept, než člověk něco takového napsal). Ale je to omezené na jeden konkrétní driver a nejsem si úplně jistý, jestli lze opravdu chybný kód využít "pokud je zapnutá" a nejsou tam další omezení. Ale už jsem viděl dost podobných zpráviček, které prezentovaly bezpečnostní chyby jako závažné, přestože skutečné riziko bylo minimální nebo dokonce jen teoretické.

    Faktem je, že poslední dobou se hodně chyb a potenciálních problémů najde použitím automatických nástrojů (syzkaller, KASAN, KCSAN, ...) takže to vypadá, že se s problémy roztrhl pytel. Netuším, jestli třeba Windows jsou testovány podobně důkladně, ale jsem si celkem jistý, že pokud ano, podstatně menší procento nalezených problémů je takhle medializováno.