Исходное сообщение
"Инструментарий для выявления скрытых уязвимостей, возникающи..." Отправлено Аноним, 23-Ноя-11 16:41
> 1. "инструментарий для ... автоматического анализа ... кода на предмет наличия ИЗВЕСТНЫХ > уязвимостей" (выделено мной) И что? У MS бывали дыры в общедоступных либах типа злибы, и ничего, не смущались. > Fedora было выявлено пять пакетов, в которых проявляется уязвимость ... исправленная > ещё в начале апреля" А у MS вообще анимированные курсоры позволяли в ядро проломиться. И дыр в GDI+ было оптом в всех парсерах форматов - от жпега до WMF. Чем это лучше? > Это ещё одна затычка для детских болезней open-source'а Про детские болезни вякать после MS11-083 довольно нагловато, имхо. Это у вас в TCP/IP стеке детские болезни, если оно позволяет ремотным пакетом кернел мод поиметь. > причиной которых является огрехи в архитектуре ОС и методике разработки. А MS11-083 почему-то у MS случился. По логике получается что там не огрехи а сплошной мегафэйл, да? Потому что в *BSD/Linux такого лютого пи...ца с дырявостью сетевого стека не наблюдается. > Так libpng просто напрашивается стать частью ОС, но вместо этого дублируется > (!!) в десятках проектов. Так кто виноват что бакланы из микрософта не предоставляют возможность попросить "дайте нам libpng"? В линухе так и делают обычно, указывая libpng в зависимостях вместо копипи...нга кода из нее. Но есть же винды, где это не вариант. А переть с собой всю библу - так прога сильно распухает и тяжелеет. Вот и выкручиваются как умеют. > А вот это уже ППЦ. Не, ППЦ - это когда ремотный пакет влетает в кернел и выполняется. Как в MS11-083. Вот это лютенько, ничего не скажешь.