On 23/12/19 18:45, Sabrewolf wrote:
Il 21/12/19 19:17, Davide Prina ha scritto:
On 20/12/19 23:27, Sabrewolf wrote:
In realtà fino ad ora io non ho visto neanche mezzo malware che si
installa attraverso i bug delle cpu scoperti negli ultimi anni.
come dicevo non è necessaria l'installazione... basta l'esecuzione. Ad
esempio una pagina con del javascript.
Così come non ho ancora visto un malware che sfutta i bug delle cpu,
allo stesso modo non conosco pagine web (proof of concept) che eseguono
codice non autorizzato attraverso tali bug.
hai proprio ragione.
Anch'io non so guidare un aereo, né conosco nessuno che sappia farlo e
neppure ho mai visto dal vivo qualcuno che guidasse un aereo. Quindi ne
deduco che nessuno sia capace di farlo e anzi sia impossibile guidare un
aereo... probabilmente gli aerei non esistono! ;-)
Ehi ma allora non esistono neanche i sottomarini, lo space shattle, la
stazione spaziale internazionale, ... accidenti devono essere tutti
prodotti della fantascienza :-(
Per esempio facebook sta cercando di convincere che ha necessità di
tracciare i suoi utenti anche se questi hanno disabilitato il loro
tracciamento[¹] (penso per le app di facebook, whatsup, ...). Secondo
me questo è un malware... poi per altri potrebbe non esserlo ;-)
Non credo che il GPS del cellulare o del navigatore satellitare si possa
definire un malware :D
non hai letto né l'articolo, né quanto avevo scritto io :-(
Annunci si...Ma exploit ? Proof-Of-Concept ? Continuo a leggere annunci
ma non vedo exploit...
in alcuni casi, come in questi, i ricercatori non diramano, almeno
all'inizio, come sfruttare un bug.
Se vai a leggerti i CVE probabilmente trovi come sfruttare alcuni dei
bug dove hanno già rilasciato da tempo le mitigazioni del caso... e per
sfruttarli facilmente con successo devi usare un PC che non abbia tali
mitigazioni attivate.
Ad esempio, se fai qualche piccola ricerca con un qualsiasi motore di
ricerca puoi torvare facilmente qualcosa, come questa: se conosci un po'
l'assembler poi trovare un esempio che ti fa vedere come crearti delle
istruzioni che, in teoria non possono essere eseguite come utente
normale, ma grazie al fatto che per velocizzare l'esecuzione il
processore esegue comunque le istruzioni successive... hai letto
qualcosa che non avresti potuto leggere.
Ciao
Davide
[¹]
https://www.theregister.co.uk/2018/01/04/intel_amd_arm_cpu_vulnerability/?__cf_chl_jschl_tk__=60612731c1adc9fec3ebeaff5f30c978cf97c50e-1577127663-0-Ac5iTQBadm8EOXPkkgRsXeT2TJCYayyt46UF-noZy1ckCA0u0GDVvMoEIny54NJ2YFMj8kB_uNGHcay5anyZhlA5Ni0t9wXAZH3m0c29TtekgVVwk3__LXamFSvlusf1k8KddbnPJFrYmKw40oF5ZSIfip1XugZPHDUDcly3_dNd8Ym-CY9R3_mQYx3UbFqie6P8UIZ2YWI4ncHB2HfsdM9dAR982aBB12qjX1cbdeFkOliblUrI0Z3gdldUSz4WZ4Q64yApwcH1TAveqaXPtguVC5RsCRXwy3bCkkZO7l_-3odQn5S_ik2yse4vNhnzDg
--
Dizionari: http://linguistico.sourceforge.net/wiki
Elenco di software libero: http://tinyurl.com/eddgj
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook
