... que je suis passe de l'autre cote:
http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-053/index.html
"1. Risques
Contournement de la politique de securite"
Certes, on pourrait voir l'execution de code distante comme un contournement de politique de securite (LoL comme dirait *). En l'occurence je trouve ca ridicule. Bon le CERTA n'est pas a blamer, il y a 4200 patches par jour, personne n'a les moyen de les analyser tous et d'en deduire ce qui se passe. Donc si l'editeur ne dit pas: "vous allez vous faire rooter", tout le monde se tait. Mais au final, c'est que la reference gouvernementale francaise en matiere de SSI qui se vautre lamentablement. Et entraine sans doute avec elle le reste du pays. Quand vous vivez ca de l'interieur, ca vous degoute un peu.
Ca serait marrant d'envoyer CERTA-2008-AVI-053.pdf un peu modifie a tous les RSSI gouvernementaux. Mais ne vous inquietez pas, je ne me permettrais pas de le faire ...
Leveling Up Fuzzing: Finding more vulnerabilities with AI
-
Posted by Oliver Chang, Dongge Liu and Jonathan Metzman, Google Open Source
Security Team
Recently, OSS-Fuzz reported 26 new vulnerabilities to open source...
3 days ago
3 comments:
on pourrait voir l'execution de code distante comme un contournement de politique de securite
On pourrait... s'ils ne faisaient pas de différence entre les deux. Or il la font. Pour un exemple tout à fait parlant, cf. http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-059/CERTA-2008-AVI-059.html
Ouep, les overflows on s'en fout de toute façon. J'ai toujours préféré les vraies failles :
http://lists.virus.org/full-disclosure-0802/msg00108.html
Je note le coup de l'imprimante, ca pourra servir!
Post a Comment