Комментарии 30
Мне всё интересно отловить момент, когда минусы за решето в комментариях начнут перевешивать плюсы, как это в своё время было с буханкой-троллейбусом.
За комментарии такие плюсуют, но карму втихаря сливают все равно…
Вопрос к знатокам безопасности: разве песочница не должна блокировать любые действия недоступные процессу вкладки? Т.е. мы имеем сразу две проблемы: дыра в песочнице и дыра в vbscript? Или песочница тут не причём?
Скорее всего это проявление закона протекающих абстракций. И песочницы, и код, в них исполняемый, построены на одном и том же основании машинной архитектуры и соглашениях об организации памяти и других ресурсов. Хотя создатели любой песочницы стараются спрятать нижележащие слои от запускаемых приложений, эти слои никуда не уходят. Доказать формально строго корректность алгоритмов песочницы чаще всего недопустимо дорого, поэтому дыры в них всегда есть.
Ах да, забыл сказать — я не знаток безопасности, а просто странствующий философ ☺

И ещё: в одной презентации я прочитал остроумное определение термина «хакер»: это человек, который ищет (и использует) машины Тьюринга в системах там, где их создатели не намеревались их размещать.
НЛО прилетело и опубликовало эту надпись здесь
как было бы приятно общаться с людьми, если бы они сами себе не вашали ярлыков
НЛО прилетело и опубликовало эту надпись здесь
А где тут ярлык? Я просто указал на забавный факт — что «не знатоков»©, высказывающих своё мнение, обычно называют «диванными» экспертами. А странствующий — это, как бы, тоже антоним слова «диванный», но уже в другом смысле.
Более точным переводом на русский будет «закон дырявых абстракций». Протекающие как-то странно звучит — мы же говорим дыры в безопасности, а не протечки.
Оригинальная статья Джоэла не про безопасность, а про то, что, как ни прячь за общим интерфейсом работу с файловой системой, работа с NFS и с локальным диском не будут выглядеть одинаково — природа сетевого соединения будет неизбежно проявляться (протекать).

«Leak» — это всё-таки «течь». Хотя от перевода как «дырявый» данная метафора не сильно страдает.
Я не про безопасность, а про перевод — «протекающие абстракции» — это машинный перевод, по-русски так не говорят и словосочетание очень сильно режет слух.

Дырявые абстракции не менее точно передает смысл (что в абстракциях есть дыры через которые протекает нижележащий уровень), но в отличие от первого варианта не выглядит чужеродно для русского языка.

Особенность низкокачественного (машинного) перевода обычно как раз в том, что вместо перевода смысла всей фразы и отдельных словосочетаний просто переводятся отдельные слова по словарю и полностью игнорируется то что они в другом языке еще и сочетаются по-другому.
это машинный перевод

Когда я читал статью Джоэля на английском, я именно так себе и представлял в голове: как абстракции нижнего уровня протекают на верхние уровни. Последний раз, когда я проходил тест Тьюринга, меня идентифицировали как человека, не как машину :-), поэтому оставляю за собой право переводить это именно так, хотя и не настаиваю на этом, потому что…

… в русском переводе этой книги издательства Символ-Плюс, действительно, используется термин «дырявые абстракции». У меня есть несколько претензий к переводу и оформлению книги в целом (одна только безвкусно оформленная обложка чего стоит, особенно если сравнивать с оформлением оригинала). Но опять же, это вкусовое различие, и спорить тут можно до бесконечности.
Детальное описание одного из вариантов уже указано в статье (https://www.blackhat.com/docs/us-14/materials/us-14-Yu-Write-Once-Pwn-Anywhere.pdf). Если коротко, то в утекшей памяти располагается экземпляр класса VBScript и его описание, включая поле safe/unsafe COM объекта, которое можно изменить.
IBM X-Force, то они впервые обнаружили данную уязвимость ещё в мае этого года
они пока не наблюдали случаев эксплуатации данной уязвимости

Ну конечно
обнаружили данную уязвимость ещё в мае этого года
уязвимость ещё не закрыта
сейчас её активно изучают
Шел ноябрь Какие молодцы!
Столько лет не знать о такой уязвимости… Звучит подозрительно. ИМХО Намного вероятнее те кто надо знали, а за давность дырки позволили открыть в общий доступ. Так сказать наигрались вдоволь и выкинули.
НЛО прилетело и опубликовало эту надпись здесь
Данная ошибка не была профиксина для совместимости с ошибками предыдущих версий.
newsru.com сообщает, что уже выпустили патч:
hitech.newsru.com/article/12nov2014/patch
«В NSA погрустнели: контракт на необнаружение давным давно внесенной по предыдущему контракту „фичи“ истек, подрядчик выпустил патч и попросил заметно больше за очередную долгоживущую дырку.»
Это всё уже настолько стандартно стало, что даже грустно )
Эх, Ms
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Информация

Дата основания
2002
Местоположение
Россия
Сайт
www.ptsecurity.com
Численность
501–1 000 человек
Дата регистрации

Блог на Хабре