mboost-dp1

unknown

Sikkerheds hul i Microsoft Office til Mac

- Via CNET -

Matt Conover tilstår at der er et stort hul i Microsoft’s version af Office til mac, dette hul gør sansynligheden for “buffer overflow” stor. Microsoft har mere info og en patch klar, som kan findes her.





Gå til bund
Gravatar #1 - koger
17. apr. 2002 11:25
OK, nu har jeg læst artiklen, men jeg fatter stadig ikke hvorfor en bufferoverrun er et sikkerheds problem ?
Any1?
Gravatar #2 - Deternal
17. apr. 2002 11:30
takeover, bruteforce mm.



Btw, hvem er overrasket over det også gælder MS software til MAC... asso?

(at der er sikkerhedshuller)
Gravatar #3 - Hektor
17. apr. 2002 11:30
Forestil dig en buffer på 20 tegn. Hvis vi putter "hgllekshbnrldsihlshesut røv" ind i den, og den ikke er implementeret ordentligt, står der pludselig "sut røv" uden for bufferen. Er programmet, der bruger bufferen, ikke lavet ordentligt, kan det risikere at bruge "sut røv" i stedet for det, den egentlig skulle bruge. F.eks. "Kig her".

Meget forsimplet, men det er det grundlæggende princip.
Gravatar #4 - mindflay
17. apr. 2002 11:33
Buffer-overrun gør det muligt at lægge vilkårlig kode i hukommelsen efter bufferen. Da maskinkode og data blandes kan man altså overskrive efterfølgende programkode med maskinkode efter eget valg, specielt bagdøre der giver samme rettigheder som programmet har. Dvs. hvis man kører som admin/root (eller et sikkerhedsløst OS som Win9x) har man ubegrænset adgang!
Gravatar #5 - C#
17. apr. 2002 11:34
selv jeg kan lave kode der ikke kan give bufferoveflow, så kan ms sq da for fanden vel også, snart træt af der bliver ved med at komme sådanne fejl fra ms.
Gravatar #6 - Shrike
17. apr. 2002 11:41
"heh. endnu et hul på størrelse med Titanic"
Gravatar #7 - mortenp
17. apr. 2002 11:55
#1 koger:
Hvis du vil vide mere kan det anbefales at læse Aleph1's klassiker "Smashing The Stack For Fun And Profit". Den findes bl.a. her http://www.insecure.org/stf/smashstack.txt
Gravatar #8 - Disky
17. apr. 2002 12:11
Har i alle set det ?

C# sagde noget negativt om MS, jeg tror nogen har hacket hans konto :)

C# du er altså en så dygtig udvikler at du ALDRIG laver noget der kan resultere i en bufferoverrun ? Eller bruger du et sprog hvor det slet ikke kan opstå ?
Hvis du bruger C++, og roder med pointere osv, tvivler jeg på du aldrig laver fejl.
Forresten sproget du har dit navn fra, kan også lave bufferoverrun da det understøtter pointere.
Gravatar #9 - C#
17. apr. 2002 12:20
disky snakker om c++, og jo, man kan sagtens lave sikker kode, bare man tager sig tid til det (er så en anden ting hvis der er flere udviklere på samme projekt)
Gravatar #10 - Disky
17. apr. 2002 12:35
c#:
Jeg spurgte om du garanterede at du ALDRIG lavede fejl, selvom du bruger dobbeltpointere osv.

Ikke om det var muligt at lave fejlfri kode, for jeg vil påstå at man kan IKKE være 100% sikker.
Gravatar #11 - mindflay
17. apr. 2002 13:13
Er det nu en Java-fan skal indskyde at der ikke er noget der hedder Buffer Overrun i Java? :)
Gravatar #12 - Disky
17. apr. 2002 13:18
mindflay:
Det må du meget gerne, for du har nemlig 100% ret :))

Jeg har forsøgt alle mulige ting og sager, men det eneste der sker er 'ArrayIndexOutOfBoundsException' :-)

Java er nu et fedt sprog. Selv på mobiltelefoner kan det bruges (laver jeg i øjeblikket)
Gravatar #13 - mortenp
17. apr. 2002 14:03
mindflay:
Det har du ret i. Der er heller ikke noget der hedder performance.
Gravatar #14 - Deternal
17. apr. 2002 14:32
Eh... tror nu nok amiga os microcode er rimelig schnell - og det er afaik java baseret...
Gravatar #15 - Deternal
17. apr. 2002 14:32
Eh... tror nu nok amiga os microcode er rimelig schnell - og det er afaik java baseret...
Gravatar #16 - Hektor
17. apr. 2002 14:42
#13 mortenp:
John Carmack udtalte i et interview, at han da seriøst overvejede at lave Doom3 i java, men det ville være for besværligt, da han havde en masse C-kode, han kunne genbruge.

Ydelse er ikke så meget et spørgsmål om sprog, som det er et spørgsmål om implementering og design.
Gravatar #17 - mortenp
17. apr. 2002 14:49
#16 Hektor:
Du kan *aldrig* opnå samme performance med Java som med C. Det er rigtigt at Java godt kan køre hurtigere, hvis man JIT-compiler det, men det kan C også. Java har en masse "smarte" ting (så programører kan lave hjernedød kode, uden fx. at smadre stakken) med de koster.
Gravatar #18 - .net
17. apr. 2002 14:51

http://www.sys-con.com/java/articleprint.cfm?id=14...
Gravatar #19 - mortenp
17. apr. 2002 14:54
Jeg fandt noget om John Carmack og hans tanker om Java i Quake 3 på http://www.unrealities.com/web/johncchat.html
En af hans grunde til at vælge det fra var "Performance."
Gravatar #20 - Simm
17. apr. 2002 17:17
Doom 3 i Java...Ha, nu må jeg le :) Synes aldrig jeg har set Java applikationer der har været særligt store endsige hurtige. Men jeg glæder mig da til den dag, hvor og hvis Java (eller C#) overtager C++'s plads, så vi kan tænke lidt mindre på pointere og garbage collection, hvilket jeg finder frustrende til tider
Gravatar #21 - Simm
17. apr. 2002 20:54
Hmm, jeg er dygtig til at kvæle en debat ;)
Gravatar #22 - Disky
17. apr. 2002 21:07
mortenp:
Du ved ikke hvad du snakker om. Jeg gider ikke engang spilde min tid på at forklare dig det, da du tydeligtvis mener at java er håbløst langsomt, hvilket det bestemt ikke er.
Gravatar #23 - mortenp
17. apr. 2002 22:20
Disky:
Jo, jeg ved godt hvad jeg snakker om. Ja - jeg har endnu ikke oplevet et eneste program der er skrevet i Java som har slaaet tilsvarende programmer skrevet i C/C++. Men fair nok, hvis du har eksempler saa lytter jeg da gerne.
Gravatar #24 - mindflay
17. apr. 2002 23:20
Pointen med Java er ikke at det skal slå C/C++ mht. performance, men at det skal være sikrere, hurtigere at programmere og kører direkte på "alle" platforme (browsere, OS'er osv.). Hvis bare det kører nogenlunde ligeså hurtigt som native C/C++-kompileret kode er man som regel meget tilfreds :)
I øvrigt er der flere implementationer af JVM (fra SUN, IBM m.fl.).

Men jeg har hørt at SUNs hotspot-optimering gør at primitiv Fibonacci her kører ustyrligt meget hurtigere end i C++ da den cacher funktions-resultater.
Gravatar #25 - Disky
18. apr. 2002 07:49
Mortenp:
Det er virkeligt tydeligt du ved hvad du snakker om (NOT).

Java er ikke noget man bruger istedet for C++, selvfølgelig er C++ lidt hurtigere end Java. Ja jeg skrev 'LIDT' for med jdk1.4 compileren er forskellen MEGET mindre end den var med den jdk1.1 compiler som du sikkert taler om.

Java har utrolige fordele frem for C++.
Det er platformsuafhængigt
Man har ikke pointere som for 99% vedkommende af udviklere skaber problemmer
Bufferoverrun findes ganske enkelt ikke
Det er et langt 'pænere' sprog, grimme ting som multiple arv findes ikke (gudskelov)
osv.

Disse ting gør at man som udvikler er bred i mulighederne.
f.eks.
I mit job som konsulent har jeg f.eks. lavet en prototype for et stort dansk firma, det var en JSP løsning.
Men da det var Java man brugte kunne jeg meget nemt skifte over til det jeg laver idag, nemlig J2ME (Java til mobile devices).

Prøv lige det med C++ programmering, det er utroligt meget mere besværligt.

Og den performance forskel der er betyder ikke noget idag, med den hastighed vores systemmer kører med.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login