The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимости в LibreOffice, позволяющие выполнить скрипт или плагин Gstreamer"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в LibreOffice, позволяющие выполнить скрипт или плагин Gstreamer"  +/
Сообщение от opennews (??), 12-Дек-23, 15:08 
Раскрыта информация о двух уязвимостях в свободном офисном пакете LibreOffice, которым присвоен высокий уровень опасности (8.3 из 10). Проблемы устранены в недавних обновлениях LibreOffice 7.6.4 и 7.5.9...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60275

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +6 +/
Сообщение от Аноним (1), 12-Дек-23, 15:08 
> Проблема вызвана отсутствием должного экранирования спецсимволов в имени файла с видео перед обращением к Gstreamer.

Классика

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +3 +/
Сообщение от Аноним (14), 12-Дек-23, 16:34 
Как раз тот тип ошибок, от которых не спасут безопастные языки.
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  –3 +/
Сообщение от Аноним (18), 12-Дек-23, 17:10 
Как раз тот тип ошибок, от которых спасут безопастные языки.
Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +1 +/
Сообщение от Аноним (31), 12-Дек-23, 17:55 
Нет.
Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  –1 +/
Сообщение от Аноним (14), 12-Дек-23, 18:39 
Оказывается, "безопасные" языки сами делают экранирования спецсимволов во входных данных. Вот до чего дошел прогресс!
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

57. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  –1 +/
Сообщение от Иисус (?), 13-Дек-23, 04:44 
В целом конечно ты прав, автоматически магия не происходит. С другой стороны больше времени остаётся на то, чтоб полезную работу делать, а не следить за всякими use-after-free.
Ответить | Правка | Наверх | Cообщить модератору

66. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от adolfus (ok), 14-Дек-23, 00:13 
А чего за ними следить? Для этого валгринд. Но что-то я не припомню, чтобы когда-либо приходилось натыкаться на такую проблему, как обращение к памяти, которую освободил. Забыть в спешке освободить память -- это запросто, но чтобы после освобождения к ней обратиться...
Ну и стиль программирования имеет смысл поменять -- как минимум, не использовать неявно вызываемого кода в своих программах, вместо наследования в своих классах использовать включение, максимально использовать функциональную парадигму и минимально объектную (r-value против l-value). Ну и прогон тестов под валгриндом
Кстати, в нортон-коммандере, который написал, отнюдь, не Нортон, а Socha, есть такой баг -- перед вызовом прерывания DOS, загружающего исполнямый файл и передающего ему управление, вызывающий код nc освобождает кусок памяти и сразу же к нему обращается. В однопроцессной системе этот не страшно и нормально.
Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

41. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  –1 +/
Сообщение от Аноним (41), 12-Дек-23, 20:14 
Зачем вообще в текстовом процессоре поддержка всякого дерьма по типу ActiveX, с которым и так в винде проблем не оберёшься (есть люди, которые в документы ворда вставляют таблиц Originа, после чего 1 документ открывается по полчаса (потому что на каждую таблицу стартует по процессу Ориджина, ибо OLE-сервер реалидован через жопу, и стартует последовательно), а когда удаляешь их оттуда - возмущаются, что им было очень удобно именно так редактировать. Не говоря уже о проблемах, возникающих на компах без Originа).

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

47. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +3 +/
Сообщение от Аноним (47), 12-Дек-23, 22:15 
А зачем вы удаляете? Вам же люди сказали - это удобно. Им так эфффективнее. Почему вы печетесь о том, чтобы лучше было компьютеру или софту, а не людям (тем более в данном случае - тем, кто создает контент)? Машина создана чтобы служить человеку, или вы агент Смит, и пытаетесь оптимизировать работу машины в ущерб человеку?
Ответить | Правка | Наверх | Cообщить модератору

70. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от Аноним (70), 16-Дек-23, 03:40 
Скальпель - тоже инструмент, но найдётся уникум, который скажет, что ему удобнее удалять гланды скальпелем через жопу.
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  –1 +/
Сообщение от Аноним (4), 12-Дек-23, 15:32 
опенофис лучший!
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +3 +/
Сообщение от Аноним (5), 12-Дек-23, 15:34 
> Gstreamer

Всегда эту шнягу выкидываю при сборке своей LFS системы.

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от Аноним (7), 12-Дек-23, 15:44 
>> Gstreamer
> Всегда эту шнягу выкидываю при сборке своей LFS системы.

Можно выкинуть, если ничего никогда в вайне запускать не планируешь. Но, имей в виду, vlc куда хуже (а это будет альтернатива в DE).

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от Аноним (39), 12-Дек-23, 20:05 
Как бы там ни было, но VLC является официальным бекендом мультимедии у кдеразрабов.
Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от Аноним (7), 12-Дек-23, 20:09 
Одно время агрессивно навязывали. Правда, потом обнаружилось, что даже мп3 в файловом менеджере криво воспроизводятся из-за этого (вот уж неожиданность, во всяком случае, для тех, кто не был в курсе, что такое vlc). Про видеофайлы и говорить нечего. В итоге, проект забросили, а бэкенд с влц так и остался поделкой.
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +7 +/
Сообщение от Аноним (-), 12-Дек-23, 15:50 
Пользователи просили чтобы LibreOffice работал так же как MicroSoft Office.
Разработчики пошли им навстречу.

Вьетнамские флешбеки уязвимостей и вирусов в VB скриптах ಠ╭╮ಠ

Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от soarin (ok), 13-Дек-23, 06:43 
Никогда такого не было в LO и вот опять
Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  –1 +/
Сообщение от Аноним (-), 12-Дек-23, 15:57 
По поиску находится столько новостей про уязвимости в GStreamer О_о

https://www.opennet.ru/opennews/art.shtml?num=59852
https://www.opennet.ru/opennews/art.shtml?num=59410
https://www.opennet.ru/opennews/art.shtml?num=60185

складывается впечатление, что это просто максимально отстойный код, который писали явно не руками

github com/GStreamer/gstreamer
C 95.8% C++ 0.8%
а все стало на свои места

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  –1 +/
Сообщение от Аноним (7), 12-Дек-23, 16:04 
Это гномосексуалы пропихнули в своё время. Ну, надо отметить, что оно куда более профессиональное, чем ffmpeg (вот уж где отстойный код так отстойный, так ещё и в головах разрабов авгиевы конюшни наложены).
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +2 +/
Сообщение от нах. (?), 12-Дек-23, 16:10 
вообще-то ровно наоборот - оно куда менее профессиональное и больше сделано на от...сь, потому что это просто фреймворк для пихания туда плагинов (которые, как мы помним, изредка бывают good, но чаще всего bad и "ващеп-цанеплагины") наляпаных на коленках васянами реверсом виндовых dll.

ffmpeg изначально затевался для самостоятельного воспроизведения спеков и попутной демонстрации идиотизма патентов на них ("вот тут мы поменяли две переменные - и внезапно получили патентованный алгоритм из общедоступного"), тащить внутрь миллиарды чужих как попало написанных кодеков стало модно лет на десять позже.


Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  –3 +/
Сообщение от Аноним (7), 12-Дек-23, 16:14 
Так gstreamer на несколько лет позже появился. Тогда уже стало ясно, что ffmpeg -- затея мертворождённая, а разрабы его -- полнейшие неадекваты. Все эти годы я регулярно в этом убеждался. А плагины это хорошо, таким образом, появилась куча плагинов для весьма специфического железа. Не все их них работают, как задумывалось, но фреймворк обеспечивает вполне надёжную основу.
Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +4 +/
Сообщение от нах. (?), 12-Дек-23, 17:27 
> Так gstreamer на несколько лет позже появился. Тогда уже стало ясно, что
> ffmpeg -- затея мертворождённая, а разрабы его -- полнейшие неадекваты.

Ахренеть. Теперь на "мертворожденной затее" - все что хоть как-то связано с видео, а на gstreamer - только причудливые гномоподелки, причем как и в этом случае - лучше б его там вообще не было.

Нахрена вот в документе видео?

> их них работают, как задумывалось, но фреймворк обеспечивает вполне надёжную основу.

plugins-bad как бы намекают нам, что именно это и задумывалось.


Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от Аноним (7), 12-Дек-23, 17:38 
>все что хоть как-то связано с видео

не от хорошей жизни, хуже опенсорса не найти

>причудливые гномоподелки

только wine и plasma, ничего не знаю насчёт гномоподелок

>bad

от того, что они "bad", хуже они не работают, и вроде там в основном лицензионные вопросы -- плохие плагины в ugly.

Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  –1 +/
Сообщение от нах. (?), 12-Дек-23, 20:31 
>>все что хоть как-то связано с видео
> не от хорошей жизни, хуже опенсорса не найти

как, как так? Вот жеж - Gsreamer! Уп-с - вон фуфлофокса пострадала-пострадала, так и выкинула.

> от того, что они "bad", хуже они не работают, и вроде там в основном лицензионные вопросы --
> плохие плагины в ugly.

ну вижу, разбираешься в сортах. Надеюсь, тебе понятно из каких это времен и почему - так?

Когда на этомвашемлинуксе блин..нухотькак открыть присланный файлик. И неуловимый джо настолько был ненужен никому, что и в голову не приходило что файлик может быть троянский.

(надо заметить что я и тогда предпочитал подход mplayer... если кто-то еще помнит mplayer до превращения в нескучную обертку ffmpeg. Оно иногда работало, правда, частенько странно - но надо понимать что и оригиналы были тоже так себе.)

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от Аноним (39), 12-Дек-23, 17:17 
Как будто, Говностример не зависит от FFmpeg.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

25. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от нах. (?), 12-Дек-23, 17:24 
> Как будто, Говностример не зависит от FFmpeg.

когда я последний раз собирал - не зависел. Вероятно есть очередной плагин позволяющий подцепить ffmpeg, но очень сомневаюсь что необходимый.


Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от нах. (?), 12-Дек-23, 16:05 
ну ты-то руками - гораздо более правильный гстрёмер написал?

Ах, нет, рукастые ж не умеют кодить.

> C 95.8% C++ 0.8%
> а все стало на свои места

да, опять на языке для системного программирования написан системный софт.

А на чудо-языке для рукастых опять написан только CoC.md

  

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

15. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +1 +/
Сообщение от Аноним (-), 12-Дек-23, 16:41 
> Ах, нет, рукастые ж не умеют кодить.

Как видно умеют, и кол-во проблем с памятью снижается.
И пишут код для реальных приложений. Андроид, лиса не дадаут соврать.

> да, опять на языке для системного программирования написан системный софт.

Системность языка не оправдывает овеность кода.
Ты слышал про крупные уязвимости программ на Ада? Или на свифте (вполне системный относительно эпл платформы)? Или на язые D?
(Про Nim/Carbon/Zig спрашивать не буду, тк они не сильно распространены.)
Вот то-то! Просто если инстумент плохой - то им хорошо сделать сложно.

> А на чудо-языке для рукастых опять написан только CoC.md

Кто о чем, а нах о коках /_-

Вот тебе и в линуксе https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...
и во фряхе https://www.freebsd.org/internal/code-of-conduct/
в Хайку https://discuss.haiku-os.org/t/code-of-conduct-community-gui...
и last but not least, Redox на том самом языке - https://github.com/redox-os/libgit2/blob/master/CODE_OF_COND...

Можно предположить, что проект, где нет заветного файла - это просто васян-поделка какого-го обри гана, который к индустрии относится почти вообще никак.
Скорее это борцун-мамкин-какер который живет на ее пенсию, зато Борется с Системой™, тк девушки у него тоже нету.

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +2 +/
Сообщение от Аноним (7), 12-Дек-23, 16:47 
Ну правильно, на чём не пишут -- то и неуязвимо. Желательно, чтобы вообще никто кроме автора не мог это читать. Использовать, конечно, тоже никто не будет, а это ещё дополнительная безопасность.
Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от нах. (?), 12-Дек-23, 17:23 
> Как видно умеют, и кол-во проблем с памятью снижается.

жаль что доказательств - ноль.

> И пишут код для реальных приложений. Андроид, лиса не дадаут соврать.

где на чудо-язычке написаны какие-то неведомые обертки вокруг оберток нужные примерно никому?
Ну ок, да. Дохлая лиса не дает соврать, так победим.

> Системность языка не оправдывает овеность кода.
> Ты слышал про крупные уязвимости программ на Ада?

нет программ - нет уязвимостей, все правильно. Я никогда в жизни не встречу программы ни на ada, ни на D. Могу быть спокоен - в несуществующих программах нет уязвимостей.

> Вот то-то! Просто если инстумент плохой - то им хорошо сделать сложно.

это и есть приговор нескучным язычкам. Делать на них что-то работающее - настолько сложно, что ничего нет и не будет в ближайшее время.

Даже при всей дурьей силе гугля впихивающего невпиxyeмое.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

30. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от Аноним (-), 12-Дек-23, 17:46 
> жаль что доказательств - ноль.

https://security.googleblog.com/2022/12/memory-safe-language...
Статья старая, думаю цифры уже лучше.

> это и есть приговор нескучным язычкам. Делать на них что-то работающее - настолько сложно, что ничего нет и не будет в ближайшее время.

Драйвер от асаши просто смеется тебе в лицо. Гугл с pvmfm прошивкой тоже.
Со след года начнется внедрение дров в ядро, Линус соврать не даст.
Даже в винду добавлены модули о которых разработчики хорошо отзывались.

Ты можешь сколько угодно ныть про нескучность, но прогресс уже не остановить)

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от Аноним (14), 12-Дек-23, 18:36 
Помечтать никогда не вредно.
Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +1 +/
Сообщение от нах. (?), 12-Дек-23, 20:37 
>> жаль что доказательств - ноль.
> https://security.googleblog.com/2022/12/memory-safe-language...
> Статья старая, думаю цифры уже лучше.

это цифры о строительстве оберток вокруг оберток над обертками. Напомни, сколько в андроиде кода НЕ принадлежащего гуглю?

Т.е. из 10% они переписали целых 30 (то бишь - 3).

> Драйвер от асаши просто смеется тебе в лицо.

драйвер от этого саши мне ненужен и не будет нужен примерно никогда.

> Гугл с pvmfm прошивкой

ты вряд ли можешь понять что эта прошивка делает и для чего она ненужно даже гуглю.

> Со след года начнется внедрение дров в ядро, Линус соврать не даст.

вот и поржем. чего они там навнедряют и как оно будет не работать.

> Даже в винду добавлены модули о которых разработчики хорошо отзывались.

там один разработчик хорошо отзывался. Причем про модуль который он сам и наразрабатывал. Будет плохо отзываться - пойдет другую работу искать.

Причем попал ли в конечном итоге этот модуль в ядро - так и осталось тайной.

> Ты можешь сколько угодно ныть про нескучность, но прогресс уже не остановить)

ruffle.rs определенно показывает, что с такими темпами прогресса я попаду в рай раньше чем оно станет хотя бы для чего-то годным.

А ведь это был образцово-показательный проект на нескучном языке - казалось бы, выгодно выпячивающий все его нескучные фичи. Но нет. Потому что главной мисфичей снова оказалась невозможность реализовать проект больше хеловрота в разумные сроки (на деньги заинтересованных лиц, а не бесконечные деньги гугля, не умеющего фиксировать убытки).

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

46. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  –1 +/
Сообщение от Анонин (?), 12-Дек-23, 21:30 
> драйвер от этого саши мне ненужен и не будет нужен примерно никогда.

да тебе кроме пня четвертого и так ничего не нужно
а вот Линукс вполне может обновить свой рабочий ноут

> Причем попал ли в конечном итоге этот модуль в ядро - так и осталось тайной.

осталось тайной только для тех, кто даже поискать осилить, не говоря уже про возможность "покопаться в ядре"
https://infosec.exchange/@cxiao/110562188960426172

> вот и поржем. чего они там навнедряют и как оно будет не работать.

вот и поржем, когда раст станет обязательной зависимостью для ядра
будем выслушивать их стенания и проклять примерно как сейчас слушаем нытье любителей копроиксов

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от нах. (?), 12-Дек-23, 22:43 
> а вот Линукс вполне может обновить свой рабочий ноут

у него и так макось прекрасно работает. Для кодинга на псевдоязычке и оттопыривания пальцев ему вполне достаточно почтового клиента, а он там встроен.

> https://infosec.exchange/@cxiao/110562188960426172

то есть в какой-то internal pre-alpha версии 11 оказался кусочек драйвера с буквами rs, но чтобы его включить надо использовать васянский vivetool.exe даже там. Ну ок, победа непременно где-то впереди. Если того чувака раньше конечно не уволят.

> вот и поржем, когда раст станет обязательной зависимостью для ядра

в раю-то? Ну может и поржем, хотя там по-моему за ржач в ад скидывают.

Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от 1 (??), 12-Дек-23, 17:23 
> Ты слышал про крупные уязвимости программ на Ада

Я об уязвимостях на COBOL вообще не слышал. А он уж куда более распространён чем GNAT.

А уязвимости на Ада, я думаю, военная тайна.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

42. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +1 +/
Сообщение от Аноним (39), 12-Дек-23, 20:29 
Самая военная тайна об уязвимостях на Оберон (русскими буквами название).
Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от Аноним (39), 12-Дек-23, 17:14 
Держу в курсе: USE="${USE} -gstreamer"
Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  –1 +/
Сообщение от Аноним (21), 12-Дек-23, 17:16 
Ну а что хотят уважаемые эксперты? На сложных язычках типа сишки, где без указателей не может быть написана ни одна программа, чуть сложнее хеловорда? А где указатели, там и всякие ошибки работы с адресным пространством. Сишка - очень низкоуровневый язычок.
Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +3 +/
Сообщение от Аноним (-), 12-Дек-23, 17:37 
Указатели указателя рознь, можно использовать умные, можно обмазаться чем-то типа стат.анализаторов, использовать AddressSanitizer, фаззи-логику, написать тесты и тд.

А можно просто выпрограммировать код типа
void *ptr = *(const void**)(0xdeadbeefUL + 0xa);

и что-то мне подсказывает, что авторы пошли не по первому пути)

Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +2 +/
Сообщение от Аноним (31), 12-Дек-23, 17:58 
В других недоязычках в тех же самых местах unsafe, который ни от чего не может спасти.
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

33. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +2 +/
Сообщение от Аноним (14), 12-Дек-23, 18:30 
Это сишка сложный язык? Растаманы совсем уже умом тронулись. Никто не хочет на их языке писать, вот они и с ума сходят.
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

35. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от Аноним (21), 12-Дек-23, 18:36 
Мне безразличен Раст. Я пишу про сишку. Это сложный язык системного программирования, поэтому не понимаю ехидства, когда про очередную уязвимость говорят что это программист криворукий. Это так, но в больших проектах всё не усмотришь. Для хелловордов сишка - простой язык, согласен.
Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от Аноним (-), 12-Дек-23, 19:49 
Если какой-то инструмент сложный (без шуток) то что делает хороший мастер?
Он использует дополнительные инструменты или практики, которые помогут ему не совершать ошибки.
Например у мясника есть кольчужная перчатка, ибо стейков в мире много, а пальцев на руке всего 5.
Врач-хирург использует ее по той же причине (+ геппатиты/ВИЧ у пациентов).
Электрик (не для дома) использует отвертки на 1000в, перчатки и коврик.
У пилотов авиации чек-листы проверок.

Для С есть проверенная практика МисраС, но она довольно сложная и требует как стат. так и динамический анализ. Зато результат ее применения летает в космосе, применялся для самолетов и тд.

Но как видно куча открытых проектов не используют целый набор уже проверенных тестов, зато любят срезать углы. Получаем постоянные стандартные ошибки.

А когда им предлагают "а давайте сделаем проверки обязательными и перенесем в компилятор" - лезут в бутылку и бычатся.
Приводя аргументы типа что
uint8_t x = (*(struct foo volatile *)NULL)->x;
это супер необходимая вещь, без которой жить нельзя.

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от нах. (?), 12-Дек-23, 20:45 
> Для С есть проверенная практика МисраС, но она довольно сложная и требует
> как стат. так и динамический анализ. Зато результат ее применения летает
> в космосе, применялся для самолетов и тд.

дай угадаю - он летает в космосе в виде космического i8080 с целым аж килобайтом оперативки и толстым-толстым слоем свинца поверх.
А Дракон летает с пультом управления на базе ведроида (я надеюсь хотя бы это не гуглепланшет вставленный в рамку так чтоб спрятать логотип).

Потому что сволочи Маску хочется срыть от тебя на Марс при этой жизни, а не в послеследующих.

> Но как видно куча открытых проектов не используют целый набор уже проверенных

потому что их пишут для себя а не для музея образцового ненужно - и не могут тратить бесконечное время на образцовые технологии.

> А когда им предлагают "а давайте сделаем проверки обязательными и перенесем в
> компилятор"

Внезапно выясняется что на нем ничего работающего написать нельзя, не отключив эти самые проверки.

Только прослойки поверх прокладок, работающие с уже препарированными и структурированными данными. А откуда те возьмутся - непонятно.

Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от Аноним (-), 12-Дек-23, 22:42 
> А Дракон летает с пультом управления на базе ведроида (я надеюсь хотя бы это не гуглепланшет вставленный в рамку так чтоб спрятать логотип).

Какая разница какой там пульт управления? Конкретно на драконе там JS для UI.
Но внутрянка написана на С++ (к сожалению не нашел какого стандарта).
Кроме этого для внутреннего использования, упоминаются питон, матлаб и фортран. Что логично для матана.

> потому что их пишут для себя а не для музея образцового ненужно - и не могут тратить бесконечное время на образцовые технологии.

Т.е для себя можно делать абы как? Подход конечно интересный, я бы даже сказал знаковый.
А если делаешь криптолибу типа OpenSSL? Хартблид ведь типичная ошибка дыряшки.
И денежки за "работу" брать не стесняются https://www.openssl.org/blog/blog/2023/08/08/finances/
вон Linux Foundation запилил целую Core Infrastructure Initiative для увеличения финансирования.
А дырки в ядре? Там тоже 80% кода пишут люди на зарплате.
Хорошо что корпы начали понимать, что сишники бракоделят уже лет 30 за их деньги, просто раньше было хуже видно. И продвинули более хорошие инструменты.

> Внезапно выясняется что на нем ничего работающего написать нельзя, не отключив эти самые проверки.

У лисы получилось, гугла получается, у мелкомягких получается, а у тебя нет...
Возможно ты просто неосилятор и пограммирование не твое.

> Только прослойки поверх прокладок, работающие с уже препарированными и структурированными данными. А откуда те возьмутся - непонятно.

Угу, а прослойках с прокладками уязвимостей не бывает.
Чего стоят баги вида "нажал enter - получил доступ без пароля" с правами рута
https://www.opennet.ru/opennews/art.shtml?num=59702
или https://www.opennet.ru/opennews/art.shtml?num=58130

Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  –1 +/
Сообщение от нах. (?), 12-Дек-23, 22:57 
> Какая разница какой там пульт управления? Конкретно на драконе там JS для

А что ж не прекрасный безопастный йезычок? Вот не потому ли что им надо было таки чтоб летело, а не вечно переписывать?

> Т.е для себя можно делать абы как? Подход конечно интересный, я бы

для себя в первую очередь нужно - сделать. А не "appease clippy" и дальше хеловрота не продвинуться.

> А если делаешь криптолибу типа OpenSSL? Хартблид ведь типичная ошибка дыряшки.

ну и где же твоя безопастная? Ведь ее радостно бы бросились использовать все абсолютно!
Поделку умеющую полтора голых алгоритма и ни с чем несовместимую - не предлагать.

И да, openssl - переделанный ssleay. Автору которого вообще, совсем, феерически было похрен на твою безопастность - он хотел как-то открывать немногочисленные сайты требующие ssl, а было - нечем. И хрен его знает сколько бы еще было нечем, если бы он не слепил как попало и что попало.

> И денежки за "работу" брать не стесняются https://www.openssl.org/blog/blog/2023/08

ты тоже можешь - за безопастную альтернативу ведь заплатят гораздо больше денежков. Как, опять нет?!

> У лисы получилось, гугла получается, у мелкомягких получается, а у тебя нет...

у лисы эпик фейл получился, в результате квантум так и не дописан, а разработчиков нескучного язычка вместе с их разработкой выбросили за борт без спасательных плотиков и очень смешно было смотреть как они машут лапками и тонут один за другим.

У гугла пока получилась фикция, но это неточно. И вот, полторы прослойки к прокладке между линуксом и жаба машиной в ведроиде, но пока никто кроме гуглегениев не может понять зачем она и для чего.

> Угу, а прослойках с прокладками уязвимостей не бывает.
> Чего стоят баги вида "нажал enter - получил доступ без пароля" с
> правами рута
> https://www.opennet.ru/opennews/art.shtml?num=59702

О, вот эту хрень срочно начни переписывать! Денег не обещаю, самому мало, но приду за тебя болеть и лайков в шитхабе понаставлю!
(вдруг случится чудо и ты правда осилишь дальше CoC.md)
Исправить там все равно ничего не получится, я пытался. Там такой лапшекод и в таких объемах, что это ковырять бестолку. Так что хоть на фортране, хоть на брейнфаке.
(только учти что там не буфер переполнился а запутались в синхронизации - т.е. нескучный язычок может внезапно не спасти от именно такой проблемы. Но я уверен что и других там хватает.)

Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от Аноним (-), 12-Дек-23, 23:50 
> для себя в первую очередь нужно - сделать. А не "appease clippy" и дальше хеловрота не продвинуться.

Ну может ты и не продвинулся, но остальные - это не ты.

> ну и где же твоя безопастная? Ведь ее радостно бы бросились использовать все абсолютно!
> Поделку умеющую полтора голых алгоритма и ни с чем несовместимую - не предлагать.

Аргументы в силе "сам добейся"? Я ожидал от тебя чего-то более интелектуального((
Разве это оправдание гнать брак? Даже если опенссл базировалась на жутком куске кода ssleay.

> У гугла пока получилась фикция, но это неточно. И вот, полторы прослойки к прокладке между линуксом и жаба машиной в ведроиде, но пока никто кроме гуглегениев не может понять зачем она и для чего.

Твоя икспертиза просто поражает своей глубиной!
Может ты еще что-то скажешь по поводу Open Se Cura ?
Но если можно, то посмешнее.

Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от нах. (?), 12-Дек-23, 23:54 
> Ну может ты и не продвинулся, но остальные - это не ты.

но что-то твоего либреофиса или хотя бы гстрёмера мы не видим.

> Аргументы в силе "сам добейся"?

А, сова не тактик, сова стратег?

Все местные фанаты нескучных язычков не умеют кодить, интересно?

Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  –1 +/
Сообщение от Аноним (-), 13-Дек-23, 00:44 
Ты серьезно думаешь, что на форуме анонимов тебе сразу скажут "вот мой гитхаб! вот мой код! а вот мой линкедын" в ответ на такую слабую претензию?

Ты меня реально разочаровываешь(

Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +1 +/
Сообщение от нах. (?), 13-Дек-23, 10:44 
> Ты серьезно думаешь, что на форуме анонимов тебе сразу скажут

я серьезно думаю что местные хрустофанатики никогда ничего не писали сложнее хеловротов и ентер-прайсных поделок на пехепе 5.2

А те кто на самом деле писали - и у них есть шитхаб и кот - увы, образцово-показательно произвели эскопету с кривым стволом.

Ответить | Правка | Наверх | Cообщить модератору

67. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от adolfus (ok), 14-Дек-23, 00:40 
Си -- самый простой язык в отношении управления типами. Вы объявляете тип точно так, как будете использовать этого типа -- что может быть проще? Ориентирован на выражения, а не на операторы. Если это понять и использовать, то все проблемы исчезают.
Плюс простая и великолепная подсистема инициализации переменных при объявлении/определении.
Отсутствие встроенных операторов вывода/вывода не накладывает никаких ограничений на эти важнейшие процессы -- функции стандартной библиотеки вместо них позволяют сделать все, что есть в других языках, и даже больше.
Что касается этого "сложного языка", то студенты на зачете по курсу системного программирования запросто пишут для бизона синтаксис каких-инбудь кусков из стандарта C11. И он гораздо проще, нежели синтаксис, например, питона.
Есть у СИ, конечно, и недостатки -- нет, например, возможностей отлавливать переполнения и переносы, очень слабые операции сдвига.
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

37. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от Анонин (?), 12-Дек-23, 19:49 
Сишка очень простой язык. Любую обезьяну можно обучить синтаксису и х-к, х-к и в прод.
Но вот писать на нем без ошибок крайне сложно и времязатратно. Особенно это чувствуется ростом кодовой базы.
Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

51. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от Аноним (51), 12-Дек-23, 23:26 
Это и делает его плохим языком в текущих условиях
Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от Аноним (-), 12-Дек-23, 23:52 
Зато у него самые преданные фанатики!
Они могут рассказать, что UB это благо, что скорость лучше безопасностии, главное - чтобы их призвать достаточно одного комментария в стиле "типичная дыряшка".
Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от 1 (??), 13-Дек-23, 10:36 
Комментарий "типичная дыряшка", показывает только то, что в голове у комментатора.

А C - язык и язык. Простой, дальше наверное только васик. Просто к этой простоте, нужно понимание, что например
int i=255;
i++;
на некоторых системах, может привести к неожиданному результату.

Ну а людям (в том числе и погромистам, да да да - они тоже в каком то смысле "люди") надо "чтоб у них всё было, и чтоб им за это ничего не было".
Отсюда всякий сироп в языках, ORB-ы всякие (SQL - это же космические технологии) и языки, ну которые сами пишут программы без ошибок. Ну опять же лень и избегание плётки вышестоящего тоже делают своё дело.

Хотя, если брать язык, который нельзя называть, пена спадёт, на смену придёт новый модномолодёжный язык (например со встроенными подсказками AI), останется ниша разработчиков, которые кроме него ничего не умеют ... В общем, всё как сейчас с Java.

Запасаемся попкорном господа !

Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от Аноним (51), 13-Дек-23, 10:44 
>Запасаемся попкорном господа !

Да нормально всё будет; песня «с новыми поколениями настанет жёппа» стара как мир.

Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от Анонн (?), 13-Дек-23, 11:24 
Я бы сказал даже старше)
«Наша молодежь любит роскошь, она дурно воспитана, она насмехается над начальством и нисколько не уважает стариков. Наши нынешние дети стали тиранами, они не встают, когда в комнату входит пожилой человек, перечат своим родителям» Сократ

Ответить | Правка | Наверх | Cообщить модератору

68. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от 1 (??), 15-Дек-23, 09:41 
Ну и чем это закончилось для Греции ? Напомнишь ?
Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от Аноним (-), 13-Дек-23, 11:29 
> на некоторых системах, может привести к неожиданному результату.

Это не проблема.
"Да, человек смертен, но это было бы ещё полбеды. Плохо то, что он иногда внезапно смертен, вот в чем фокус!"
А вот в чем этом основная проблема - то что написав код ты не знаешь как он поведет себя на соседнем компе, с другим компилятором, на новом железе.
И нет официального списка UB которые можно проверять чек-листом. (нашел только для 99 https://gist.github.com/Earnestly/7c903f481ff9d29a3dd1)
Недетерминированность языка - это абсолютное зло.

Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

59. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  –1 +/
Сообщение от nox. (?), 13-Дек-23, 10:02 
Все это добро показывает инструмент Вид -> Навигатор. В документе из сомнительного источника можно открыть, посмотреть и удалить опасные элементы.
Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимости в LibreOffice, позволяющие выполнить скрипт или п..."  +/
Сообщение от нах. (?), 13-Дек-23, 11:29 
> Все это добро показывает инструмент Вид -> Навигатор. В документе из сомнительного
> источника можно открыть, посмотреть и удалить опасные элементы.

правда уже после того как они выполнили какой-нибудь интересный плагин г-стрёмного.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру