Микрософт - дальше только вниз стремительным домкратом?

[crypto5]

http://www.pcworld.com/article/2063980/ ... ntest.html

The vulnerabilities were exploited by a security researcher who uses the pseudonym Pinkie Pie to achieve arbitrary code execution on a Nexus 4 and a Samsung Galaxy S4 device, earning him a prize of $50,000 in the contest.

Following Pinkie Pie’s demonstration, the vulnerabilities were reported to Google, which took less than a day to fix them and push out new patches.

Even though the researcher demonstrated his exploit on Chrome for Android, Google also fixed the vulnerabilities in Chrome for Windows, Mac and Linux, as well as in Chrome Frame plug-in for Internet Explorer.

опа, "remote code execution", да

Маленький секрет, который вовсе не секрет - найденные уязвимости продают не только обратно производителю (Google в данном случае), их ещё продают на "черном рынке", где NSA тоже пасется. Хотя я не удивлюсь если у них есть собственный vulnerability research team.

Есть правда некоторая разница:

"The other browser hacked Wednesday at Pwn2Own, Microsoft's Internet Explorer 10 (IE10), has not yet been patched. It's possible, but very unlikely given Microsoft's practices, that a fix will be included in March 12's Patch Tuesday."

и

"The update to Chrome 25 came about 24 hours after two researchers from U.K. firm MWR InfoSecurity exploited multiple bugs in the browser and Windows 7."

[crypto5]

Убедите меня? Заодно интересно прощимится ли он через какую нибудь дыру в моем хроме

я не работаю в NSA

А кто работает в НСА? Кто меня убедит?

[Flash-04]

разница на самом деле небольшая. Вы знаете сколько дней-лет назад эта "дырка" появилась и сколько её могли использовать "кому надо"? Не знаете, и я не знаю. А в худшем случае - довольно долго чтобы успешно "накрыть колпаком" некого crypto5

[Flash-04]

А кто работает в НСА? Кто меня убедит?

станьте им интересным и за вами придут быстро

[Flash-04]

Что-то слишком много стало откровенной пурги под клеймом "provided by Snowden". По-моему, любой бред нынче идет обязательно со ссылкой на эту фигуру, как раньше - на ВикиЛикс. Уже и Ангри Бердс следят, и ВоВ следит, и из унитаза камера прямо в задницу смотрит...

всё что там описано - вполне технически реально, по крайней мере мой опыт говорит скорее "за" чем "против". Как результат - с удовольствием смотрю "Person of Interest". Он не такой уж фантастичный как может показаться на первый взгляд

[crypto5]

разница на самом деле небольшая. Вы знаете сколько дней-лет назад эта "дырка" появилась и сколько её могли использовать "кому надо"? Не знаете, и я не знаю. А в худшем случае - довольно долго чтобы успешно "накрыть колпаком" некого crypto5

Ну для этого им нужно было убедить меня зайти на специальный сайт, и еще remote code execution не дает им каких то сильных средств слежения за моим лимуксом. Им бы еще до суперпользоvателя доескалироваться нужно.

[Flash-04]

Ну для этого им нужно было убедить меня зайти на специальный сайтх.

на "Привет" ходишь? Ходишь. Тут стоит не самая последняя версия phpBB. Уязвимости есть? Вполне возможно. Находим, "проламываем" и вставляем ссылочку на вражеский JS.

и еще remote code execution не дает им каких то сильных средств слежения за моим лимуксом. Им бы еще до суперпользоvателя доескалироваться нужно.

ну на самом деле даёт и ещё как. Я конечно не знаю каким ты Unix пользуешься, но вот навскидку:
https://www.securelist.com/en/advisories/56549
31 Jan 2014 (о-о! можно сказать вчера, т.е. не пофиксеное скорее всего ещё нигде)

Impact: This covers vulnerabilities where a user is able to conduct certain tasks with the privileges of other users or administrative users. (то что надо!)

Исходник прилагается, то есть сконструировать правильный эксплоит нефиг делать.

Ну так чё, упорствовать дальше будем?

[crypto5]

Какая то слишком длинная цепочка совпадений должна состоятся что бы захачить мой комп на котором окажется другая версия ядра в результате

[Flash-04]

не хотите, не верьте. Но серверый malware работает именно как я описал.

[crypto5]

не хотите, не верьте. Но серверый malware работает именно как я описал.

Работает, но далеко не всегда ))

[Dmitry67]

тут по теме интересно, особенно про Hardware закладки
http://habrahabr.ru/post/209746/

[Мальчик-Одуванчик]

тут по теме интересно, особенно про Hardware закладки
http://habrahabr.ru/post/209746/

То есть прикупила контора серверок а он уже со стуком

[Flash-04]

Ага...

[Dmitry67]

А вы говорите, камень пинать

[Dmitry67]

Билл Гейтс не смог установить на свой ПК обновление Windows 8.1.
http://www.rbc.ru/rbcfreenews/20140206080213.shtml

[Интеррапт]

Вот же люди легко попадаются на фейковые новости.

Самое смешное, что такие фейковые новости потом перепечатывают в изданиях, которые претендуют на серьезность.

[Flash-04]

"Borowitz report"
но выглядит убедительно.

[perasperaadastra]

На самом деле, Билл Гейтс не смог установить Windows 8!

[crypto5]

Мне недавно на лаптоп жены тоже пришел какой то апдейт, после рестарта настойчиво предлагал завести акаунт у них в облаке, на попытки это сделать устойчиво выдавал интернал еррор, не могу законектится на сервер, попробуйте позже, без акаунта грузится не хотел, часа 2 у нас была любовь..

[Medium-rare]

Мне недавно на лаптоп жены тоже пришел какой то апдейт, после рестарта настойчиво предлагал завести акаунт у них в облаке, на попытки это сделать устойчиво выдавал интернал еррор, не могу законектится на сервер, попробуйте позже, без акаунта грузится не хотел, часа 2 у нас была любовь..

Это дурной пример известно кого с известно каким эккаунтом для всех сервисов заразителен...

[Интеррапт]

Мне недавно на лаптоп жены тоже пришел какой то апдейт, после рестарта настойчиво предлагал завести акаунт у них в облаке, на попытки это сделать устойчиво выдавал интернал еррор, не могу законектится на сервер, попробуйте позже, без акаунта грузится не хотел, часа 2 у нас была любовь..

Это дурной пример известно кого с известно каким эккаунтом для всех сервисов заразителен...

И от кого же это пример? На Маке можно загрузиться и работать без iTunes аккаунта.

[Medium-rare]

И от кого же это пример? На Маке можно загрузиться и работать без iTunes аккаунта.

https://www.google.com/accounts/

[Интеррапт]

И от кого же это пример? На Маке можно загрузиться и работать без iTunes аккаунта.

https://www.google.com/accounts/

Это да. Но все-таки имеет смысл говорить о серьезных десктопных OS, коими является Windows и OS X. Могли бы все-таки упростить жизнь для тех, кто не хочет онлайновый аккаунт у майкрософта заводить. Ну в Windows 8.2 починят

[Medium-rare]

Это да. Но все-таки имеет смысл говорить о серьезным десктопных OS, коими является Windows и Мак. Могли бы все-таки упростить жизнь для тех, кто не хочет онлайновый аккаунт у майкрософта заводить. Ну в Windows 8.2 починят

В облаках кто-то витает. Но есть преимущества загонять железной рукой в то светлое будущее, есть.