üzenetek

hozzászólások


Dr. Akula
(nagyúr)

Remélem a gyártók még tudják követni ezeket, mert én már nem. Meg már nem is akarom. Most befoltoznak egyet, holnap jön helyette 2 másik. Abban viszont biztos vagyok hogy egy mezei pc-n nem ez lesz a legnagyobb biztonsági lyuk, amit foltozni kéne.


bobalazs
(addikt)
Blog

Ez a DEFCON mindig hoz valami meglepetést! :D
Ami nem is igazán meglepetés.


Gdi
(senior tag)
Blog

A nyílt forráskód annyira biztosíték bármire is, hogy húha...
Lehetőséget ad a keresésre, de egy ügyes approved commit és egy halom új backdoorra is.

Dirty COW meddig is létezett? 9-10 évig?
meg a jópofa "&& (current->uid = 0))" egy IF-ben.

ecetera


Joci10
(senior tag)

Ha jól láttam, akkor az egyik oldalon megírják, és ha érinti a másik oldalt is, akkor az 'átveszi' és kirakja magánál is. Nem duplikálja, csak ott is megjelenteti. És ez jól látszik abból is, hogy a két hírnek ez a közös fórumtémája (vagyis nem csináltak mindkettőhöz 1-1 fórumtémát, hanem mindkettőről ide irányítanak); közös a megjelenési ideje, teljesen azonos a hír, .... és ha az IT Café-nál lévő szerző névre kattintasz, akkor hová is jutsz? A végén még kiderülhet, hogy a 2 szerző 1... :D


Egon
(nagyúr)
Blog

Végre maszturbálhatnak az intel fanok,

Ilyenkor magadból indulsz ki? Rosszul teszed... ;]

Persze értem én hogy mitől jut egyből az eszedbe az Intel, egy kb. az összes iparági szereplőt érintő hír kapcsán is: prófétád, az Abuthizmus egyház megalapítója nem hagyta ki a ziccert, és mulasztotta el átkötni a hírt az első bekezdésévelés az első linkjeivel... :C


Kékes525
(veterán)

Akkor ezért találtam ismerősnek. :D


Karness Muur
(lelkes újonc)

Bocs, de ezt hogy érted?: "Érdemes megnézni cégekre lebontva a jelentéseket, főleg a Timeline rész beszédes"
Előre is kösz.


colomb2
(addikt)
Blog

A technikai reszlet mindegy, 2x ugyan az jon(/tt mert mar leiratkoztam nehany PH oldalrol emiatt) RSS-ben ezt duplikaltnak veszem.
Jelen esetben viszont tenyleg 3x megjelent, 1x PH === 1x ITC es korabban 1x ITC (masik szerzovel).


Thrawn
(félisten)
Blog

Itt van pl az Asus, Asrock, Gigabyte, stb: [link]
Bedátumozva minden, mikor vették fel velük a kapcsolatot, mikor, hogyan reagáltak, ilyesmi.


Karness Muur
(lelkes újonc)

Kösz! Link nemvolt a hozzászólásodban Timeline meg időrend magyarul. :-)


nexplo
(aktív tag)

Akkor most az intel prociban vagy az intel meghajtóban van a rés? :D
Én már nem tudom követni. Több lukam lehet mint egy jobb fajta sajtnak :)


Thrawn
(félisten)
Blog

Nem linkeltem, mert a hírben benne volt az oldalé :)
Tudom mi a Timeline magyarul, de így találod meg a jelentésben.


ribizly
(veterán)
Blog

Ti nem unjátok még ezeket a híreket? Értem én, hogy vannak gondok a világban, meg fontos, hogy az egyén, az adataink, a privát dolgaink biztonságban legyenek, de azt érzem, hogy ez már túl van tolva.
Mindig lesznek biztonsági rések, de ezeket érdemes volna rangsorolni, mert sok kihasználásához olyan együttállásoknak kell meglennie, aminek az esélye 1 az 100000000-hez, miközben a "javítása" (blokkolása) komoly performance impact-al jár.
Nekem már elegem van ezekből az engedélyem és beleegyezésem nélküli (biztosan van benne szó persze az EULA-ban, de most ezt hagyjuk) érkező "biztonsági frissítésekből", amelyek szétkúrják a drágán megvásárolt és használni kívánt gépemet.

[ Szerkesztve ]


Predatorr
(junior tag)

No, máris láthatod, melyik cég rendelte meg a kutatást. :)

Minden sebezhető, szerintem a hackerek is tudják anélkül, hogy szólnának róla nekik. Amíg államok lesznek, biztonsági rések is.

A W10 már olyan biztonságos, hogy a Roccat billentyűzetem driverét semmiféle módon nem lehetett telepíteni, a „remek” céges support is csak ökörségeket tudott mondani (clean boot, stb, amelyeket magamtól is teszteltem). Küldhettem vissza, buktam 2000Ft-ot a usereket leszaró gyártó és a MS miatt.

Nacplo: prociban, hardveres feature. Marad is 10 v.7 nm átállásig.

[ Szerkesztve ]


Malák
(tag)

Azért ez nem hangzik túl jól : (


dabadab
(félisten)
Blog

Aztaq... most megnéztem a Gigabyte-ot, ez egyszerre baromi vicces és tragikus:

2018-04-24: SecureAuth sent an initial notification to services@gigabyte and services@gigabyteusa and requested for a security contact in order to send a draft advisory.
2018-04-30: Gigabyte Technical support team answered saying the notification was too general and requested SecureAuth to open a ticket in the Support portal.
[...]
2018-05-04: Gigabyte Technical support team replied saying that Gigabyte is a hardware company and they are not specialized in software, and requested for technical information.
[...]
2018-05-16: Gigabyte Technical support team answered that Gigabyte is a hardware company and they are not specialized in software. They requested for technical details and tutorials to verify the vulnerabilities.
[...]
2018-05-16: Gigabyte replied saying that the draft advisory was general and asked for a personal contact.
[...]
2018-05-16: Gigabyte replied saying that the draft advisory was general and asked for a phone contact again.
[...]
2018-07-12: Gigabyte responded that, according to its PM and engineers, its products are not affected by the reported vulnerabilities.
2018-12-18: Advisory CORE-2018-0007 published as 'user release'.

Szóval nagyjából három hónapon keresztül odáig nem sikerült eljutniuk, hogy a proof-of-conceptet kipróbálják, hogy tényleg lássák, hogy a saját drivereikben ott a biztonsági rés, majd a végén letagadták az egészet.

[ Szerkesztve ]


Akula
(senior tag)

:W :W :W


Lacika112
(tag)

Akkor megvolt a szokás személyeskedés 😂
Az hogy az iparág évtizedeken átnyúló hardveres biztonsági réseit meg merem említeni "Abutizmus"?
Komolyan gondok vannak 😂

Jelenleg egy olyan hardver cég van akinek egyedül több biztonsági rése van mint a többinek összesen x 10......
Bizony....bizony.... Abu ekkora "hatalom" megszabta 10+ éve egy cégnek tervezzen selejtet így majd cikkezhet róla...... Orvos látott? 😂


nexplo
(aktív tag)

Nem kell mindent magadra venni. Én úgy látom hogy az innováció az újítás és ez a hajszolt fejlesztés ez fénysebességgel halad, amíg a stabilitás és biztonság kullog utána. Ez a fogyasztói társadalom sajnos. Ami elszomorít hogy ez kb minden területre igaz lassan. :(


FlashLed
(aktív tag)
Blog

Kérdem én:

Mire a WHQL? Dísznek?


bobalazs
(addikt)
Blog

Az a whql a működésére vonatkozik nem a sebezhetőségekre a forráskódban.


bambano
(titán)
Blog

mint amikor egy 20 éves bontószökevény rozsdaboglyára felraknak négy krómozott felnit meg egy gyorstankoló matricát.


nexplo
(aktív tag)

:D :DDD ezen besírtam :DD


FlashLed
(aktív tag)
Blog

Bocsi, butaságot kérdeztem :D


Kékes525
(veterán)

Annyira nem, mert a WHQL tesztnek a biztonságot is kellene ellenőriznie, mert a felhasználók döntő többségének a szemében a Microsoft az oka a biztonsági problémának is.


Kansas
(senior tag)

Arról a MS nem tehet, hogy a felhasználóinak a döntő többsége dilettáns.
Nem az a megoldás, hogy mindent felvállal, amit a felhasználók neki tulajdonítanak...
Ha a HW/driver gyártó a hiba oka, akkor a javítás felelőse is.
Arról nem is beszélve, hogy a sok marha "power user" terjeszti is, hogy az a megolodás bármire is, hogy le ke tiltani a frissítést(vagy legalább megpróbálni).
Ha mostantól az idők végezetéig csak hibátlan, 1mp alatt feltelepülő, 1MB-os frissítéseket is ad ki a MS, akkor is azt fogja szajkózni a sok "hozzáértő", hogy le kell tiltani, mert szar, lassít, sokáig települ meg sok helyet foglal... az igazi hozzáértők persze nem, de ők kisebbségben vannak és nem szeretik annyit tépni a szájukat, mint némely fórumhuszár.

[ Szerkesztve ]


Kékes525
(veterán)

"Ha a HW/driver gyártó a hiba oka, akkor a javítás felelőse is."

:K Igaz, de:

"Nem az a megoldás, hogy mindent felvállal, amit a felhasználók neki tulajdonítanak..."

:N Az lehet, hogy ez nem igazságos, de a felhasználók többségét ez nem érdekli és ha nem akar presztízs veszteséget, akkor fel kell vállalnia ezt szerintem és mellette a háttérben nyomást kellene gyakorolnia a gyártókra a jobb és biztonságosabb driver fejlesztésekért.

[ Szerkesztve ]


ribizly
(veterán)
Blog

Kiváló példa az én esetem erre az ASUS-al. Felkerestem az Intel-t (chipset és CPU gyártója), Mircosoft-ot (OS, amivel jött az új microcode) és az ASUS-t (alaplap gyártója), hogy ugyan tegyenek már valamit azzal kapcsolatban, hogy kapjak új BIOS-t, vagy Intel driver-t vagy az MS tegye vissza a korrábi microcode dll-t.
Az Intel hárított helyből.
Microsoft-nál fogalmuk sem volt, hogy mi a fene történik. :D
Az ASUS-nál is hárítottak, de amikor tudtam már mutatni pár forum-ot, ahol a problémáról ment a beszélgetés, akkor legalább nem küldtek el és (elvileg) felvették a kapcsolatot az Intel-el. Egyébként meg részükről mindenki bekaphatja. Már azt is megkaptam a végén, hogy vegyek új alaplapot (ezzel platformot cserélve), mert az enyém már "elavult". Az, hogy még egy garanciális alaplapról beszéltünk éppen az senkit sem érdekelt.


bambano
(titán)
Blog

a helyzetet az idei német nagydíjjal tudnám szemléltetni: esett az eső, voltak nagy tócsák, amire ha felúszott az autó, akkor a nagynevű f1 pilóták rögtön utassá váltak, és szálltak, amerre a fizika vitte őket.

na pontosan ugyanez van a w10-ben. az ms minden döntési lehetőséget kivett vagy ki akar venni a felhasználó kezéből, ráadásul erőlteti a cloudot is, egyre inkább utassá válik a tulajdonos. ha viszont a tulajnak nincs beleszólása a dolgokba, akkor az a felelős, akinek van: az ms.

az ms-nél is látható, hogy teljesen felesleges, semmit nem érő marhaságokba ölik a fejlesztési erőforrásokat (jól emlékszem, hogy már megint belebabráltak a startmenübe?), ahelyett, hogy lassítanák az új feature-k tervezését és implementálását, helyette hibát javítanának.

az ms részéről nyilván nem az a megoldás, hogy mindent felvállalnak, amit eltoltak és sok pénzbe kerülne kijavítani, de az userek ezt várnák el.

üzenetek