Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в Android 14, эксплуатируемая через Bluetooth LE"	+/–
Сообщение от opennews (??), 12-Мрт-24, 12:07
Разработчики проекта GrapheneOS, развивающего защищённое ответвление от кодовой базы AOSP (Android Open Source Project), выявили уязвимость в Bluetooth-стеке платформы Android 14, которая потенциально может привести к удалённому выполнению кода. Проблема вызвана обращением к уже освобождённой области памяти (use-after-free) в коде обработки звука, передаваемого через Bluetooth LE... Подробнее: https://www.opennet.me/opennews/art.shtml?num=60771
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (-), 12-Мрт-24, 12:07	–2 +/–
> use-after-free Мда... даже с++ не помогает. > проявляется начиная с обновления, опубликованного в начале марта Хоть тут повезло
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31, #39, #61

2. Сообщение от Аноним (2), 12-Мрт-24, 12:13	+7 +/–
Разработчики GrapheneOS тоже топят за Rust: "Android has ported a lot of the Bluetooth code to Rust. This is a demonstration of why they need to put more resources into porting the rest of the code into Rust".
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #11, #24, #32

3. Сообщение от Аноним (3), 12-Мрт-24, 12:16	–1 +/–
Все устраненные уязвимости нивелируются установленной казуалкой или проприетарным приложением с намеренной "дырой", для которой уже готовы все необходимые эксплоиты.
Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от Аноним (5), 12-Мрт-24, 12:20	+/–
Если что-то шерето изначально, никакие переписывания его не исправят. А если исправят - там половина железок отвалится. А оставшиеся и так фиг работают нормально.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #62, #74

7. Сообщение от Аноним (7), 12-Мрт-24, 12:24	+3 +/–
unsafe-after-rewriting
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #76

8. Сообщение от Аноним (8), 12-Мрт-24, 12:25	–5 +/–
Кто-то пользуется bluetooth?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #13, #20, #21, #66, #82

10. Сообщение от Аноним (10), 12-Мрт-24, 12:28	+/–
Вроде популярный вариант подключения манипуляторов. Дешёвые головные телефоны тоже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

11. Сообщение от Аноним (-), 12-Мрт-24, 12:29	+5 +/–
Ну так они ж код пишут, а не гневные посты на форуме. Поэтому они копаются в коде: часто не очень красивом, и еще чаще глючном. И им хочется, кто бы мог подумать), чтобы код был более надежный. ps ситуация потчи один в один с Tor/Arti
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #71

12. Сообщение от DeerFriend (?), 12-Мрт-24, 12:32	+/–
Ох уж эти независимые разработчики. Опять теперь гуглу новый бэкдор писать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #86

13. Сообщение от DeerFriend (?), 12-Мрт-24, 12:33	+2 +/–
А как ещё эирподсы подключать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #18

15. Сообщение от Аноним (-), 12-Мрт-24, 12:40	+1 +/–
Не надо оправдывать тупость заговором. В кодах на дыряшке и даже на плюсах столько уязвимостей, что создается впечатление, что спецслужбы купили почти всех разработчиков в мире. Так у них денег не хватит) Зато очень удобно, в зависимости от ситуации: - это не пограммеры в очередно раз обделались, это все спецслужбы! не нужен ваш раст - это явно не бекдор, чесно-чесно! это просто ошибка с памятью, с кем не бывает! не нужен ваш раст
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #17, #41, #48

17. Сообщение от Аноним (17), 12-Мрт-24, 12:47	+1 +/–
Я еще не успел досчитать до бесконечности, а у Вас уже варианты закончились :(
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #19

18. Сообщение от Borzenko (?), 12-Мрт-24, 13:09	+/–
Серебряными проводами от Nordost, смазку для лыж можно не использовать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

19. Сообщение от Аноним (-), 12-Мрт-24, 13:15    Скрыто ботом-модератором	+/–
Можно взять чашечку чаю и придумать еще, это же не м̶е̶ш̶к̶и̶ ̶в̶о̶р̶о̶ч̶а̶т̶ь̶ RCE в коде искать. Например что растоманы прокрались в старые кода и надожили кучу уязвимостей прямо в штаны плюсовикам. Или что это инопланетяне я нибиру поработили человечество, и только уязвимоть в блюпупе помогала с ними бороться. Факт того что кода с/с++ это просто шерето и чем раньше от них избавиться (и от программеров заодно), тем лучше станет ПО.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

20. Сообщение от xxxxxxxxx (?), 12-Мрт-24, 13:21	–2 +/–
Странный вопрс. Я пользую для передачи интернета (tethering), часов, наушников.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

21. Сообщение от _kp (ok), 12-Мрт-24, 13:32	+1 +/–
>>Кто-то пользуется bluetooth? Наушники, колонки, джойстк, автодиагностика... :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

22. Сообщение от Минона (ok), 12-Мрт-24, 13:46	+/–
> Разработчики проекта GrapheneOS, развивающего защищённое ответвление от кодовой базы AOSP (Android Open Source Project) Pixel only Hardened Android?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27

24. Сообщение от 12yoexpert (ok), 12-Мрт-24, 13:51	–3 +/–
ключевое тут "to put more resources" беги за новым телефоном, юзернейм, джава с котлином фигня по сравнению с этим
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #33, #53

27. Сообщение от Аноним (-), 12-Мрт-24, 13:57	+/–
Никто не мешает взять свой телефон, написать или подправить для него все нужные скрипты. Может немного подпилить код. Создать пулл-реквест и добавить его в список supported devices. И куча народу будет благодарна. Many other devices are supported by GrapheneOS at a source level, and it can be built for them without modifications to the existing GrapheneOS source tree. Device support repositories for the Android Open Source Project can simply be dropped into the source tree, with at most minor modifications within them to support GrapheneOS. ps они даже пишут почему такой список due to better security and a long minimum support guarantee. 8th generation Pixels provide a minimum guarantee of 7 years of support from launch instead of the previous 5 year minimum guarantee.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #34

31. Сообщение от Аноним (31), 12-Мрт-24, 15:11	+1 +/–
c++ никак тебе не поможет от use-after-free.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #37

32. Сообщение от Аноним (32), 12-Мрт-24, 15:13	+/–
Не понятен смысл. Если MTE увеличивает потребление памяти на 3%. а Rust - на 100500%, то намного выгоднее использовать C++ & MTE.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #35

33. Сообщение от Аноним (33), 12-Мрт-24, 15:16	+1 +/–
12-летний кексперт как всегда оправдывает ник. Тут имелись ввиду хуман ресурсы - то бишь разработчики (ну и косвенно, конечно, бабки, т.к. этим самым дополнительным хуман ресурсам надо платить).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

34. Сообщение от Минона (ok), 12-Мрт-24, 15:24	+/–
>[оверквотинг удален] > И куча народу будет благодарна. > Many other devices are supported by GrapheneOS at a source level, and > it can be built for them without modifications to the existing > GrapheneOS source tree. Device support repositories for the Android Open Source > Project can simply be dropped into the source tree, with at > most minor modifications within them to support GrapheneOS. > ps они даже пишут почему такой список due to better security and > a long minimum support guarantee. > 8th generation Pixels provide a minimum guarantee of 7 years of support > from launch instead of the previous 5 year minimum guarantee. Нее, нафик. Я лучше подожду девайсы с Hardened Aurora или KasperskyOS 😏
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #36

35. Сообщение от Аноним (-), 12-Мрт-24, 15:38	–2 +/–
> а Rust - на 100500% Что за бред? Раст не увеличивает потребление памяти. Он может добавить нагрузку на проц за счет "ненужных" (с точки зрения дыряшников) проверок границ массивов и объектов на null... но оно добавляет какие-то жалкие крохи. А правильно использование Option и слайсов еще и уменьшит количество этих проверок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #72

36. Сообщение от Аноним (-), 12-Мрт-24, 15:40	+5 +/–
> Hardened Aurora или KasperskyOS С залоченым загрузчиком и добавленным зондом от товарища прямо с завода? Отличный выбор!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #38

37. Сообщение от Аноним (37), 12-Мрт-24, 15:53	+3 +/–
А разве умные указатели не для этого?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #57

38. Сообщение от Аноним (38), 12-Мрт-24, 16:00	+/–
С завода - это хорошо, обычно заусенцев гораздо меньше чем с наколенного производства.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #40

39. Сообщение от Аноним (39), 12-Мрт-24, 16:53	+/–
А разве реализация протоколов Bluetooth уже на C++ ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #46

40. Сообщение от Аноним (40), 12-Мрт-24, 16:57	+1 +/–
О, сразу видно человека, которому не доводилось собирать или чинить странки Кировоканского завода) Там могло быть все что угодно, вплоть до валов с шестернями которые просто закинули в коробку станка. Без сборки) Ну и качество всех поверхностей было на таком же уровне.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #43

41. Сообщение от Аноним (39), 12-Мрт-24, 16:57	+1 +/–
А они нужных и не покупают, просто вежливо просят так, что невозможно отказать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

43. Сообщение от Аноним (38), 12-Мрт-24, 17:05	+/–
а теперь представь валы с шестернями, сделанные на коленке
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

46. Сообщение от Аноним (-), 12-Мрт-24, 18:05	+/–
Названия и расширение файлов   audio_sink_hal_client.cc   audio_source_hal_client.cc как бы намекают) Но уверен что где-то есть написанная реализация и на СИ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

48. Сообщение от Ivan_83 (ok), 12-Мрт-24, 19:28	+1 +/–
Тебе просто анб не платит за код на с/с++, вот ты и агришься и гниль свою теребонькаешь, а вот платили бы ты бы сразу по другому запел :) Рассказывал бы тут всем что гниль никуда не годится потому что только воздух напрасно греет часами при компеляции, ни с чем не интегрируется толком и прочее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #49, #52

49. Сообщение от Аноним (-), 12-Мрт-24, 20:05	+1 +/–
О, так вот почему ты на раст агришься. Гнилью его называешь. И рассказываешь что он "никуда не годится потому что только воздух напрасно греет часами". Советую подумать, что сейчас делают с теми, кому платит АНБ за код на с/с++. Потому что времена сейчас ой неспокойные)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #58

50. Сообщение от Аноним (50), 12-Мрт-24, 21:29    Скрыто ботом-модератором	+1 +/–
Синезуб абсолютно ненужная и бесполезная технология. Не припомню чтобы я её использовал за последние 10 лет. Последний раз это было где-то в 2011 когда на кнопочный телефон подруги скидывал mp3.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51

51. Сообщение от Аноним (51), 12-Мрт-24, 21:59	+/–
Как та бабка с мема - не нужны нам эти ваши интернеты
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #55

52. Сообщение от Аноним (-), 12-Мрт-24, 22:01    Скрыто ботом-модератором	–1 +/–
Конечно АНБ не платит за код на с/с++. Потому что незачем. Среди этих погромистов достаточно тех, кто у которых руки не то что из задницы, а откуда-то существенно глубже. Нужно просто мониторить открытые проекты и смотреть какие вкусности наделали дыряшечники.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

53. Сообщение от Аноним (53), 12-Мрт-24, 22:17	+1 +/–
> ключевое тут "to put more resources" ключевое тут то, что некоторые нынешние двенадцатилетние круглые двоечники по английскому. Остальные аглицкие словеса прочел? "put" "into" куда, дочитал? Ключевое тут - вкинуть доп. ресурсы в портирование оставшегося г-кода на раст, а не то что ты часто бегаешь покупать на мамкины деньги новые телефоны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

55. Сообщение от Аноним (55), 12-Мрт-24, 22:42	+/–
Без интернета жизнь была бы действительно лучше. Я бы им не пользовался, если бы это было возможно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

57. Сообщение от Аноним (57), 12-Мрт-24, 23:19	–1 +/–
> А разве умные указатели не для этого? А зачем тогда вообще С++?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #60, #64

58. Сообщение от Ivan_83 (ok), 12-Мрт-24, 23:20	–1 +/–
Не, просто раст это браинфак на котором ничего полезного не сделать. Так я и подумал, с теми кому платит анб могут сделать только одно - попросить уплотить налоги.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #83

60. Сообщение от Аноним (60), 13-Мрт-24, 00:47	+2 +/–
> А зачем тогда вообще С++? Товарищ сишник, не пиши пожалуйста на C++ никогда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

61. Сообщение от Аноним (60), 13-Мрт-24, 00:49	–2 +/–
Там если пройти по ссылке, там C++ и не пахнет. > malloc > memcpy Ну да, ну да, "Си-плюс-плюс", ага. По башке надо бить за такое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

62. Сообщение от Bob (??), 13-Мрт-24, 01:25	–1 +/–
"Если что-то шерето изначально, никакие переписывания его не исправят" - с непробиваемого м4к4к4ми материала будет. В Rust те ошибки не повторить падаванам, так же простко как на плюсах. "половина железок отвалится" - новое как продать?) "оставшиеся и так фиг работают нормально" - покупайте новое
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

64. Сообщение от YetAnotherOnanym (ok), 13-Мрт-24, 02:02	–3 +/–
Возьми в библиотеке древнюю бумажную книгу по марксистско-ленинской гносеологической теории отражения, внимательно её проштудируй, после чего, вооружившись понятием "отражения", медитируй над понятием "объекта" в ООП. Когда на тебя снизойдёт просветление, ты поймёшь, зачем нужен C++.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #80

66. Сообщение от Аноним (66), 13-Мрт-24, 09:03	+/–
Я пользуюсь для раздачи интернета.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

71. Сообщение от Аноним (74), 13-Мрт-24, 18:46	+/–
То есть переписывают готовый проект с уже отловленными багами на новом сыром языке и в процессе добавляют новые баги? Поняли, вычеркиваем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

72. Сообщение от Аноним (74), 13-Мрт-24, 18:50	+/–
Ой, а ведь кто-то писал что проверки в Rust бесплатные? Опять кому-то сишники кучу в штаны навалили. Но не суть, к этому уже привычны, суть в том что бинарники на Rust жирные и уже одно это повышает потребление памяти. Так что товаришь растоман опять грустно смотрит в трусы и привычно валит все на сишников.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

74. Сообщение от Аноним (74), 13-Мрт-24, 18:59	+/–
>А если исправят - там половина железок отвалится. Половина? Да там все отвалятся кроме трех основных платформ, более-менее поддерживаемых Растом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

75. Сообщение от Аноним (74), 13-Мрт-24, 19:15	+/–
Если разработчики GrapheneOS так сильно топят за Rust, почему бы им самим не начать на нем переписывать? Из 167 репозиториев только один на Rust. Или за них это должен сделать кто-то другой?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #77

76. Сообщение от Аноним (74), 13-Мрт-24, 19:17	+1 +/–
Переписали целых 5% на Rust, но это почему-то не спасло от такой серьезной уязвимости. Девайс взломают удаленно, но зато безопасно!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

77. Сообщение от Аноним (77), 13-Мрт-24, 19:27	+/–
> Если разработчики GrapheneOS так сильно топят за Rust, почему бы им самим > не начать на нем переписывать? Из 167 репозиториев только один на > Rust. Или за них это должен сделать кто-то другой? мелочи жизни. забыл как они наваливали в проекты, и создавали issues'ы: давайте перепишем на раст!!!? xD
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #85

79. Сообщение от Аноним (79), 13-Мрт-24, 21:03	+/–
GrapheneOS крутой проект. Или местные эксперты с чем-то несогласны?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #84

80. Сообщение от Аноньимъ (ok), 13-Мрт-24, 23:41	+/–
В С++ система типов Страуструпа. ООП там нет от слова совсем. Классы в такой реализации вообще к ООП не способствуют.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

82. Сообщение от Аноним (82), 14-Мрт-24, 00:02	+/–
Увы, пришлось синезуб использовать для радиоушей - потому что корейские у_е_6_аны просто выпилили 3.5мм джек из Galaxy 22 - ну места он очень много занимал, целых 6мм!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

83. Сообщение от namenotfound (?), 14-Мрт-24, 13:54	+/–
в интеле написали новую реализацию direct rendering manager на расте люди, которые пишут драйвера для apple silicon в ведре тоже на расте модули пишут дискорд, например, свой бэк для пары сотен миллионов пользователей тоже на расте пишет но иван с опеннета считает, что на нем ничего полезного не сделать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

84. Сообщение от Аноним (84), 14-Мрт-24, 22:08    Скрыто ботом-модератором	+/–
Крутой - это резко и быстро эскалирующий. Ну, типа в ИТ и интеллектуальных областях это больше считают как недостaток.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

85. Сообщение от Аноним (85), 15-Мрт-24, 10:04	+/–
Забудешь их. Отдельные отмороженные до сих пор спамят такими issues.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

86. Сообщение от Аноним (-), 19-Июн-24, 00:28	+/–
Погодь, но ведь об этой тупости пишут разработчикам и либо они, либо тестировщик пишет cve и через некоторое время оно публикуется. Первая проблема успел ли производитель исправить проблему? А вторая - успели ли пользователи обновиться. И вот это время тайного знания cve и время до обновления после публикации и есть по факту заговор против товарища майора. Где отечественный товарищ майор в этом процессе, если технологией пользуются все? По факту западный товарищ майор стал в этом процессе полицией. Все норм?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема