Rymasz wrote:

> Podpuchy to co innego. Tutaj raczej chodzi o to, ze przegladajac "zlosliwa"
> strone WWW, pobiera sie "normalnie" grafike. Jak taki JPG bedzie odpowiednio
> spreparowany (dopuszczam, ze nawet sie wyswietli to co powinno) to dojdzie
> do przekroczenia pamieci dla niego alokowanej (wg. tego co sie wydawalo
> programistom, ze tak ma byc). Nadpisany moze zostac adres zwrotny funkcji
> przetwarzajacej, poprzez przepelnienie lokalnej wartosci. "Wstrzykuje" sie
> wlasny kod, co robi co sie chce i przodem. Z grubsza i w teorii, bo sie tym
> nigdy praktycznie nie zajmowalem.

To poczytaj sobie coś zarządzaniu pamięcią dla procesorów 80386 w
chronionym trybie wirtualnym. Coś takiego nie ma prawa się zdarzyć,
chyba że system ma kompletnie spartolone zarządzanie pamięcią.

Taki numer to mógłby przejść w spartaczonym programie działającym w
trybie rzeczywistym, ale w trybie wirtualnym zarządzanie pamięcią nawet
przy nie kontrolującym przekroczenia zakresów programie spowoduje błąd
ochrony i wywalenie programu.

[ciach]

> Widac, ze od dawna zdajesz sobie sprawe z zagrozen :)
> BTW: najnowsze certyfikowane przez MS stery NVIDII
> powoduja bluescreena na XP'ku (!), podczas gdy poprzednie w tej samej
> sytuacji dzialaja poprawnie :)

XP to w ogóle jeden wielki szajs - znajomy przeszedł (nie wiem, po co) z
Win98SE na XP i po połączeniu z siecią komputer mu się restartował
(dziura w systemie).

> BTW2: raport za zeszly rok pokazywal, ze dziur w Windzie i Linuxie
> znaleziono podobna ilosc (ponad 100), przy czym w Linuxie nie na
> wszystkie bylo lekarstwo (a kod jest otwarty ;) Niestety nie moglem sie
> go na szybko doszukac.

Ja bym sugerował porównanie tych dziur (co innego brak odporności na
DDoS i możliwość wywalenia pojedynczego demona lub przejęcia jego
uprawnień, a co innego dziura powodująca wywalenie całego systemu).

Poza tym otwarty kod linuxa świadczy tylko na jego korzyść - mając
dostęp do źródeł łatwiej wykryć i wykorzystać dziury (więc te 100 w
linuxie ma inny 'ciężar' niż te 100 w wingrozie z 'tajnymi' źródłami -
pomijając już same różnice w potencjalnych skutkach 'dziur'). No i mając
źródła - można dziurę (jeśli się umie) załatać 'od ręki'. Zamiast
czekać, aż mikrosyf kolejne SP wypuści (produkujące nowy dziury przy
okazji łatania starych).

> BTW3: taka bezpieczna i przemyslana Mozilla tez zaczyna przepuszczac.
> (przepelnienie bufora w Winampie pomine :)

WinAmp zdaje się umiera...

> WNIOSKI: w kazdym gospodarstwie domowym musi byc przynajmniej
> po jednym informatyku i prawniku, by nie dac sie dymac :)

Wiesz - jeśli ktoś się nie zna na samochodzie: oddaje go do mechanika.
Albo buli za np. nowy silnik, jak coś potężnie sknoci. A jeśli ktoś nie
zna się na instalacji i konfiguracji komputera?....

[ciach]

> Mnie sie tylko o to rozchodzi, ze uzytkownik nie wiadomo jak swiadomy
> moze czuc sie zagrozonym ze strony ludzi kierujacymi sie nieetycznymi
> pobudkami ;)
> a majacymi wyspecjalizowana wiedze i ogromna motywacje, by jednak
> jakies obejscie znalezc. A TPSA tylko zaciera rece :)

Niemniej jednak większość takich zdarzeń (dialery, epidemie 'robaków')
są skutkiem daleko posuniętej niefrasobliwości, niekompetencji oraz
lenistwa użytkowników oraz administratorów.

[ciach]

> Tak to wlasnie jest. Czasem chyba ktos musi zadbac o ich interesy, tak
> dla dobra ogolu. Zwlaszcza ze swiat nieublagalnie pedzi do przodu i nie
> ma za bardzo mozliwosci bycia w pelni swiadomy we wszystkich dziedzinach
> zycia.

Ale jak ludzie przyzwyczają się, że ktoś za nich myśli... Efekty z
reguły są koszmarne.

>>W sumie mi to wisi - i tak sobie zablokowałem. Na wypadek 'wpięcia'.
>
> Jak beda chcieli to i tak Ci sie wepna, zwlaszcza jak masz analogowa linie
> :)

Dawniej nie mogli - miałem SDI.

Teraz sobie zablokowałem. Zresztą i tak myślę przejść do sferii - TPSA
ma chore abonamenty.