WatW
BANNED | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Domin0 * Народ пишет: https://thehackernews.com/2019/02/winrar-malware-exploit.html На заборе тоже пишут... Вот, написано "МЕЛ". И я думаю - чем же это написано?.. Сатья ни о чем. Тем более, что искажает некоторые обстоятельства. Darth_Max * Потому, что потеряли исходный код библиотеки... Вот, к примеру, пишут: "... WinRAR team had lost source code of the UNACEV2 ..." А вот, что говорит Рошаль: " ... we do not have access to its source code." Впрочем, я так и не понял - зачем ему исходники? Если ты юзаешь стороннюю либу, фришную, т.е. - бытовую, свою на ее базе не строишь, то что кивать-то на исходники или их отсутствие или недоступность? Да и немного покоробил вот такой момент - вот, Рошаль пишет: "WinRAR used this third party library to unpack ACE archives." Может это так и принято у них, в Нью-Йорке, не знаю, я не бывал, но какая же она третья, если она оригинальная от разработчика Ace Software? Если бы дядя Вася ее написал, и передал Рошалю для распаковки эйса, то Васю смело можно назвать третьим лицом в этой сделке. А так... Впрочем, что с Рошаля взять, юзерам в морду плюнуть - это мы завсегда, а уж коллеге по цеху - сам бог велел :) Первоисточник, конечно, поинтереснее будет: https://research.checkpoint.com/extracting-code-execution-from-winrar/ Ну, то, что бетка и статья появились одновременно - эта согласованность вполне понятна. Только вот одно сопутствующее обстоятельство есть :) Там плашечка такая скромная справа посередине на индексе затесалась https://research.checkpoint.com Join Us at CPX 360 CPX Vienna: 18-21 February Статья - 20-го, бетка - 21-го, и все это одновременно с фуршетом в Вене, организованном авторами статьи :) Впрочем, представительство там - вполне. Внушает. Но от оригинала заказухой несет за версту. Я вот не могу вспомнить - в какой это русской классике была такая вводная: "Он сильно мучался из того, что все гимназисты уже переболели венерическими, и некоторве - не по разу, а он даже самого простого (чегой-то там) до сих пор не подцепил." Так получается и с винраром. Ну, нет гексогена!.. Что ж. Пойдет и сахарный песок. Еще вчера в гугле по запросу "WinRar Vulnerabilities" было почти пусто. А сегодня звон - на всю планету. 500 мио под угрозой! Пол-планеты. Почти :) Кстати, а откуда дровишки про 500 мио? (в Рошаля первоисточнике, есно) Бзв, может, до кучи, подбросишь пару полешков в печурку по статистике 4 vs 5? Ну, да... к статье. И всюду звон - винрар, винрар, обновляйтесь. Только вот ни слова ппро соседей по камере. Я их у себя насчитал ажна 14 штуков - тех, кто пользует эту либу. И, главное не понятно из чтения по диагонали - так чей же косяк в первую очередь? Либы или рара? Если ее (она там что-то пишет не дожидаясь чего-то от колбэков) - так под это и все остальные ее пользователи попадают. Если же это косяк именно винрара, чтоименно он не учитывает эту ее особенность, а другие учитывают (но про них ни слова!), то и его к стенке первого :) Шютка :) Я, вообще, так и не понял этих исследователей. Ну нашли дыру в этой связке. Но ведь само просится протестить ее на других, использующих эту либу. Но - тишина гробовая... Или с ними не договорились? В Вену не пригласили? Интересен вот такой пассаж: "... we need to understand how unacev2.dll is used. After reverse engineering ... we found that two exported functions ... required structs that are unknown to us ... We had two options to try to understand the unknown struct: reversing and debugging WinRAR, or trying to find an open source project that uses those structs." Йопта... я бросился в инет и, не сразу, но нашел добротный 70-страничный мануал. Более того, когда сохранял его, обнаружил, что у меня зачем-то уже есть такой :) Вот, даже у меня - есть! А у них - нету... Реверсить надо. Да и вся статья эта такими понтами про реверс, фаззинг и пр. просто пропитана. С др. стороны, собственно об этом и идет речь ... И вот они (рарлаб) со страху и вселенского масштаба ажиотажа решили прихлопнуть товарища, заодно лишив свои 500 мио клиентов функционала, который им был обещан в свое время, за который было заплачено и который был вспомгательным фактором в пользу покупки рара. А решили - двое. Рарлаб и эта контора. Да-а... Рарлаб прям весь растекся плашмя перед ней в п.21. Тем более, что вот это "we" в "So we decided to drop ACE archive format ..." вполне двояко прочитывается. Я, вот, когда пишу подобные вещи, то исключаю подобную двоякость, уточняя, как Option Explicit: "Мы, Николай Вторый ..." ну и, далее, по тексту... :) Вот так. Одним взмахом шашки - и до седла. Ну-у, не знам, не знам... А что, кроме хирургии, ни одно отделение не работает? Терапия, к примеру? Мне вот, сходу, пара простых вещей пришла в голову: 1. Уделить внимание обработке архивов, у которых содержимое отличается от формата, заявленного в расширении. 2. При работе с Ace - навязывать особую консервативность при целеуказании. 3. Вообще, кучей фильтровать целеуказание в больные, уязвимые места венды. Распакуйся, юзер, в нужник, а оттуда сам, ручками и переноси. Не надорвется юзер, ась? Для его же блага, епт. А они сразу - в морг... И, потом ведь - Венды! Вен-ды! А почему все остальные платформы должны страдать?! Это ведь серьезно. Из-за одной венды - всю спальню на-проветриться... Не-е. Не верю я в эту уязвимость, из пальца высоссанную. И, повторю главный вопрос - эта уязвимость, суть синергии двух раздолбаев - эйса и рара, или же все-таки, кого-то одного из них? Никто ведь, кроме рарлаба не орет за эту тему... Вот и сдается мне, что Рошаль решил сорвать малость популярности через этот, ну, на застарелый сифон не тянет, а вот как легонький трепачок - вполне :) И - вот мы тоже уязвимы, вот мы тоже боремся, мы тоже обновляемся, все для вашего блага и все неприятности - тоже для вас и вашего щазтья! Вот мы какие! А может, до кучи, и землячку подговнить - e-merge GmbH, продукты которого, по скользкой инфе, вполне в ходу и в неметчине, и на Альбионе. Как бы оно там ни было - опять разочаровывает нежелание работать над продуктом, дорабатывать его согласно тренду времени, а вот такие волюнтаристские решения - смена формата с потерей совместимости, секир функционала и пр. и пр.. И, очень интересует - а как выглядит вся эта бодяга c непонятно чьей уязвимостью применительно к консольному rar? --------------------- Ну и, остальные вопросы, затронутые мной в этой теме остаются открытыми. --------------------- И, до кучи, хочу спросить - а что, разве лицухи для физиков уже нет? Я помнится покупал (не для себя) как-то. Может с другим продуктом перепутал? Как-то в лоб не нашел... .
Оскорбление пользователя ру-борд | Всего записей: 31 | Зарегистр. 24-09-2013 | Отправлено: 20:54 21-02-2019 | Исправлено: Maz, 23:01 23-02-2019 |
|