forum.opennet.ru

"Критическая уязвимость в Wasmtime, runtime для WebAssembly-приложений"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Доступны два режима работы форума: "Раскрыть нити" и "Свернуть нити".

. "Критическая уязвимость в Wasmtime, runtime для WebAssembly-п..."	+1 +/–
Сообщение от Аноним (207), 12-Мрт-23, 11:42
>>> а уязвимость вызвана логической ошибкой при определении правил линейной адресации памяти в генераторе кода Cranelift, транслирующем независимое от аппаратных архитектур промежуточное представление в исполняемый машинный код для архитектуры x86_64. ... >>> This commit removes two incorrect rules as part of the x64 backend's computation of addressing modes. These two rules folded a zero-extended 32-bit computation into the address mode operand, but this isn't correct as the 32-bit computation should be truncated to 32-bits - ; movl %esi, %ecx - ; movq -1(%rdi,%rcx,8), %rax + ; movq %rsi, %rdx + ; shll $3, %edx, %edx + ; movq -1(%rdi,%rdx,1), %rax >> запись данных в область памяти вне границы, >> допустимой для изолированного WebAssembly-кода, >> Инструментарий написан на языке Rust > Но как же так, Холмс?! :) Элементарно Ватсон! Настоящие опеннетные Воены Супротив Раста не читают дальше заголовка и не умеют в ЯП ...
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Критическая уязвимость в Wasmtime, runtime для WebAssembly-приложений, opennews, 10-Мрт-23, 18:12 [смотреть все]

Смысл было писать это на Rust От уязвимостей он не спасёт , Иваня, 10-Мрт-23, 18:12 (1) //
- а он обещал спаси от логических ошибок или ты это сам придумал , annonn, 10-Мрт-23, 18:30 (12) //
  - фигасе ошибочка - переполнение буфера на десятки гигабайт , Аноним, 10-Мрт-23, 19:36 (39) //
    - в Heartbleed можно было читать всего 64 килобайт памяти и от этого стало легче н, anon_III, 10-Мрт-23, 19:57 (47)
      - с того самого, когда переполнение в 1 байт и в 1 ГБ - вещи, мягко сказать, совсе, Аноним, 10-Мрт-23, 20:23 (57)
  - си не за это же распинают глючит человек, а страдает репутация языка это тупо , trdm, 10-Мрт-23, 21:24 (77)
- если бы писали на другом языке, то уязвимостей было бы сильно большеи да, раст н, Аноним, 10-Мрт-23, 19:07 (20) //
  - Серебряная пуля 8211 Modula 2 , Аноним, 10-Мрт-23, 19:11 (24) //
    - Там вроде Ada выбирают сегодня , Аноним, 10-Мрт-23, 19:18 (26)
  - Какое сильное утверждение Обосновывать его ты конечно же не будешь , Аноним, 10-Мрт-23, 19:14 (25)
- i Смысл было писать это на Rust i - потому что кто-то любит rust и решил нап, eganru, 10-Мрт-23, 19:38 (40) //
  - В итоге, диапазон виртуальной памяти от 6 до 34 ГБ от базового адреса оказывался, Аноним, 10-Мрт-23, 19:46 (44) //
    - Вот эти программы без багов, они сейчас здесь, с нами , eganru, 10-Мрт-23, 19:55 (46)
      - растаманы обещали справиться с переполнением буфера на этапе компиляции, а тут в, Аноним, 10-Мрт-23, 20:21 (56)
        
        Вы новость вообще читали Раст тут причём Ошибка в генерированном программой ко, Аноньимъ, 10-Мрт-23, 20:29 (59)
  - Так было бы лучше Меньше всякого культистского дерьма, к тому же уязвимого, люд, Аноним, 10-Мрт-23, 20:20 (55)
запись данных в области памяти вне границы на языке Rust ну дык на C писа, Аноним, 10-Мрт-23, 18:13 (2) //
- С си такое не могло случиться, потому что там никто не верит в обещания , Аноним, 10-Мрт-23, 18:18 (6) //
  - Угу, в си оно бы получило рут еще на этапе генерации кода , Аноним, 11-Мрт-23, 00:15 (98) //
    - Уязвимости в коде, генерируемом тем же, bison не шутка, но поэтому и нет доверия, Аноним, 11-Мрт-23, 10:45 (133)
- Переполнение то в машинном коде, генерируемом кодом на Rust , Аноним, 10-Мрт-23, 18:18 (7) //
  - А растаманы обещали, что все проверки границ будут в компилтайме , Аноним, 10-Мрт-23, 19:22 (31) //
    - Так они все в компайлтайме для кода на раст и выполняются , Аноньимъ, 10-Мрт-23, 20:30 (60)
      - критическая уязвимость с тобой не согласна , Аноним, 10-Мрт-23, 20:49 (66)
        
        Переполнение буфера не в раст коде происходит , Аноньимъ, 10-Мрт-23, 21:15 (72)
        
        Cranelift formerly known as Cretonne is an optimizing compiler backend that co, Аноним, 11-Мрт-23, 00:27 (99)
        
        И , Аноньимъ, 11-Мрт-23, 00:59 (100)
        
        Буфер переполняет код, сгенерированный кодом, написанном на растеСгенерированный, Аноним, 11-Мрт-23, 01:14 (101)
        
        Да, логическая ошибка в коде допущенная программистом Раст не защищает от логиче, Аноньимъ, 11-Мрт-23, 01:53 (108)
        
        Раст написанный на расте защитит , Sw00p aka Jerom, 11-Мрт-23, 06:38 (123)
        Если отстутствие проверки жоступа к памяти - логическая ошибка, то в расте по за, uis, 11-Мрт-23, 12:20 (140)
        
        Как ты вообще живешь с таким мозгом где произошло В раст коде Нет, не в раст к, Анонимусс, 11-Мрт-23, 14:35 (153)
        с дуба рухнул От логических, как эта, ничего не спасает Только в твоих влажных, Аноним, 12-Мрт-23, 03:22 (196)
        
        Ну раст это хотя бы лучшее что у нас есть, на с с проблемы бы вылезли ещё на э, Олексий, 11-Мрт-23, 02:09 (111)
        
        Чел, зачем ты пишешь, если ты не профик Приходи в треды по своей профессии и та, Аноним, 11-Мрт-23, 01:51 (107)
        Конечно, код на расте - это же буквы и цифры Какое там может быть переполнение , Аноним, 13-Мрт-23, 08:01 (234)
        
        А ничо что бага в асме и раст тут вообще не причём Или не читал, но осуждаю , Олексий, 11-Мрт-23, 02:06 (110)
        
        Они думают, что чем больше бреда напишут - тем больше их будут слушать Необучае, Аноним, 11-Мрт-23, 13:19 (141)
  - Хорошую отмазку придумали , ИмяХ, 10-Мрт-23, 20:45 (64)
Выбери что-то одно производительность, безопасность , работу с не доверенными , AKTEON, 10-Мрт-23, 18:23 (10) //
- Примечательно, что раста в этом списке нету , Аноним, 10-Мрт-23, 19:23 (33)
- но и С тоже, anon_III, 10-Мрт-23, 19:58 (48)
- Производительность может быть безопасной В ваше ЦПШ об этом не рассказывали Ну, Аноним, 11-Мрт-23, 13:21 (143) //
  - Кричали выпускники провинциальных вузов, пока не приехал spectre , AKTEON, 11-Мрт-23, 14:50 (158)
  - так появился САБЖ , Аноним, 12-Мрт-23, 12:51 (210)
- Wasmtime is a fast and secure runtime for WebAssembly Это лол , Енот Берт, 12-Мрт-23, 23:44 (228)
логическая ошибка, печально, но хорошо что заметиливозможно в будущем научатся и, annonn, 10-Мрт-23, 18:29 (11) //
- Не научатся Кодогенератор очень сложный, в нем легко сделать ошибку, Аноним, 10-Мрт-23, 18:44 (15) //
  - ну в 60х годах прошлого века про интернет только задумывалисьвидеозвонки были в , anonimusIII, 10-Мрт-23, 18:58 (17) //
    - Люди пытаются воплотит то, что уже было придумано Если сейчас этого никто не ви, Аноним, 10-Мрт-23, 19:07 (21)
      - давай стразу определимся - то что не противоречит текущей физике, возможно к воп, anon_III, 10-Мрт-23, 19:35 (37)
        
        Послать тебя почитать хотя бы Циолковского, что ли , Аноним, 10-Мрт-23, 19:39 (41)
        
        DC-X, Skylon, Корона - да попытки оказались неудачныено если каждый раз при неуд, anon_III, 10-Мрт-23, 19:54 (45)
        
        до сих пор изобретаешь перпетум мобиле , Аноним, 10-Мрт-23, 20:16 (53)
        
        Дак Европе сейчас не до него Так что про ИТЭР можно забыть, распилили там уже, Аноним, 10-Мрт-23, 19:42 (42)
        
        до него или нет - посмотрим не итером единым есть тот же JET кроме токамаков е, anon_III, 10-Мрт-23, 20:10 (51)
        
        расширения угольных разрезов в ЕС , Аноним, 10-Мрт-23, 20:18 (54)
        
        Им до сих пор применение не нашли Кроме взлома шифров, да и то теперь пост-кван, uis, 11-Мрт-23, 03:11 (119)
      - Ага вот эти ребята Для вас уродов не имеющих даже массового надежного производст, anonymous, 11-Мрт-23, 13:20 (142)
        
        Я искренне надеюсь, что тебя тоже денафицируют желательно свои же, для отельн, Аноним, 11-Мрт-23, 14:01 (151)
    - В 60-х годах-то К этому времени они уже давно вышли из области фантастики, прос, Аноним, 11-Мрт-23, 04:29 (120)
  - Уже научились, формальное доказательство корректности кода, и языки с зависимыми, Аноним, 11-Мрт-23, 05:44 (121) //
    - Профаны не понимают этого, бро , Аноним, 11-Мрт-23, 13:22 (144)
Какая-то лоускильная байда Сишный код в чужую память не залезает и проверка дел, Рустик, 10-Мрт-23, 19:06 (19) //
- И будет тормозить, это же для веба, ChatGPT, 10-Мрт-23, 20:02 (50) //
  - а-ха-ха традиция такая , trdm, 11-Мрт-23, 14:45 (156)
- Программа на С выходит за границы массива - ааа уязвимость дырявая сишка Пр, Вы забыли заполнить поле Name, 10-Мрт-23, 21:43 (87) //
  - Где ты там видишь программу на расте, выходящую за границы массива, о Воен Супро, Аноним, 10-Мрт-23, 21:50 (88) //
    - https github com bytecodealliance wasmtime, uis, 11-Мрт-23, 02:55 (118)
      - Настоящие Воены не читают дальше заголовка , Аноним, 11-Мрт-23, 21:57 (188)
    - Уже не в состоянии в код посмотреть Растоман во всей красе , Вы забыли заполнить поле Name, 11-Мрт-23, 22:30 (190)
      - movq -1 rdi, rcx,8 , rax movq rsi, rdx shll 3, edx, ed, Аноним, 12-Мрт-23, 00:18 (194)
        
        Ты сам то посмотри, что копируешь Два чтения из памяти в аккумулятор Подряд Т, Аноним, 13-Мрт-23, 11:01 (236)
        
        Ну ты вон пялился в код и писал разоблачительный коммент, при этом тебя не смути, Аноним, 18-Апр-23, 15:57 (239)
  - Программа на С выходит за границы массива - ааа уязвимость дырявая сишка Име, Аноним, 11-Мрт-23, 00:13 (97)
  - subprocess run sys argv 1 А Питон позволяет запустить любую команду без пров, Олексий, 11-Мрт-23, 02:13 (112) //
    - проблемка в том, что sys argv 1 - творение растаманов , Аноним, 11-Мрт-23, 08:13 (129)
      - В растений вроде os argv , Аноним, 11-Мрт-23, 13:38 (146)
        
        Прошу прощение, не уследил за автоподстановкой Не растение, а расте , Аноним, 11-Мрт-23, 13:42 (147)
      - Это python , Аноним, 11-Мрт-23, 16:05 (162)
    - Многие языки позволяют запустить процесс по строке имени, если есть собственная , Аноним, 11-Мрт-23, 13:58 (150)
    - А за эттим в соседнюю новость, где питоняши не слышали что входные данные еще и , Аноним, 12-Мрт-23, 10:55 (205)
запутались в _ _ - , ChatGPT, 10-Мрт-23, 20:01 (49) //
- безопасно запутались всего-то на 28 гигабайт переполнили , Аноним, 10-Мрт-23, 20:15 (52)
Опять местные кексперты показали уровень кекспертности В пулике ни строки на ра, НяшМяш, 10-Мрт-23, 20:38 (62) //
- Логическая ошибка АСМ от хтмл отличить очень просто - первый не является ЯВУ, а, Аноним, 11-Мрт-23, 01:55 (109)
- Так ты сам за всю жизнь ни одной строки кода не написал, чего выпендриваешься , Аноним, 11-Мрт-23, 10:44 (131) //
  - Значит знаю о чём говорю xD, НяшМяш, 11-Мрт-23, 11:29 (134)
Каким же раздутым и абсурдным стал современный web , VoiD, 10-Мрт-23, 21:56 (89) //
- особенно когда Инструментарий написан на языке Rust , Аноним, 10-Мрт-23, 22:36 (93)
- Rust js, uis, 11-Мрт-23, 02:51 (117)
надо усложнить язык Rust так, чтобы в нём было невозможно допустить логические о, раст переусложнён, 11-Мрт-23, 00:12 (96) //
- Зачем так сложно, отключите логику и делов то , Sw00p aka Jerom, 11-Мрт-23, 06:44 (124) //
  - Поздно D, Tron is Whistling, 12-Мрт-23, 09:25 (200)
а уязвимость вызвана логической ошибкой при определении правил линейной адресац, Аноним, 11-Мрт-23, 01:41 (103) //
- Не, это как раз нормально, именно так компиляторы и делают, uis, 11-Мрт-23, 02:50 (116)
А где гарантия что это последняя логическая ошибка Язык уже сложен Сложность п, Аноним, 11-Мрт-23, 01:44 (104)
Чьто такое runtime Время выполнения , нуда, 11-Мрт-23, 07:18 (125) //
- Точнее этап выполнения, чтобы не путать с тем сколько времени выполняется програ, Аноним, 11-Мрт-23, 17:44 (173) //
В привиденном линке код не на расте написан, а на ассемблере И фикс на нем http, Аноним, 11-Мрт-23, 14:41 (154) //
- А ещё ОС не на расте, процессор не на расте, и, говорят, сами программисты тоже , Аноним, 11-Мрт-23, 19:36 (181) //
  - Всё равно будут уязвимости, так то можно даже не напрягаться , Аноним, 12-Мрт-23, 09:53 (202)
- Вот что бывает, когда свой ЯП узковат для замысла программиста Они лезут туда ч, Аноним, 12-Мрт-23, 15:29 (214)
- на расте написан ЧПУ, это он намотал токаря на вал а не раст , Аноним, 12-Мрт-23, 18:46 (223)
Я попросил OpenAI, что нужно делать, чтобы выполнить мечту многих на Опеннете - , kusb, 11-Мрт-23, 15:59 (161) //
- Чек-лист, когда комьюнити недовольно растом , Аноним, 11-Мрт-23, 17:50 (174)
- Zig выглядит очень хорошо , Аноним, 11-Мрт-23, 18:28 (179)
- Для начала, неплохо бы, сам язык стандартизировать , Аноним, 11-Мрт-23, 20:10 (184) //
  - Как это сделать если у них цель сложность ради сложности Как только ты что-то с, Аноним, 11-Мрт-23, 20:16 (185) //
    - Три слова и ты описал всё современное IT , Аноним, 12-Мрт-23, 00:54 (195)
- ChatGPT залогинься И базу русского подгоните ему нормальную, ну что за позор то, Аноним, 12-Мрт-23, 12:26 (208) //
  - А что не так с его словами , kusb, 12-Мрт-23, 12:36 (209)
- То самое чувство, когда ИИ написал в сто раз более полезный комментарий, чем люб, Аноним, 12-Мрт-23, 17:56 (220)
Но как же так, Холмс , Аноним, 12-Мрт-23, 10:53 (204) //
- CODE - movl esi, ecx- movq -1 rdi, rcx,8 , rax movq , Аноним, 12-Мрт-23, 11:42 (207)
- Внезапно оказывается, что полагаться на безопасные язычки не стоит и надо учитьс, Аноним, 14-Мрт-23, 14:45 (238)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру