... que je suis passe de l'autre cote:
http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-053/index.html
"1. Risques
Contournement de la politique de securite"
Certes, on pourrait voir l'execution de code distante comme un contournement de politique de securite (LoL comme dirait *). En l'occurence je trouve ca ridicule. Bon le CERTA n'est pas a blamer, il y a 4200 patches par jour, personne n'a les moyen de les analyser tous et d'en deduire ce qui se passe. Donc si l'editeur ne dit pas: "vous allez vous faire rooter", tout le monde se tait. Mais au final, c'est que la reference gouvernementale francaise en matiere de SSI qui se vautre lamentablement. Et entraine sans doute avec elle le reste du pays. Quand vous vivez ca de l'interieur, ca vous degoute un peu.
Ca serait marrant d'envoyer CERTA-2008-AVI-053.pdf un peu modifie a tous les RSSI gouvernementaux. Mais ne vous inquietez pas, je ne me permettrais pas de le faire ...
Safer with Google: Advancing Memory Safety
-
Posted by Alex Rebert, Security Foundations, and Chandler Carruth, Jen
Engel, Andy Qin, Core Developers
Error-prone interactions between software and memo...
12 hours ago
3 comments:
on pourrait voir l'execution de code distante comme un contournement de politique de securite
On pourrait... s'ils ne faisaient pas de différence entre les deux. Or il la font. Pour un exemple tout à fait parlant, cf. http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-059/CERTA-2008-AVI-059.html
Ouep, les overflows on s'en fout de toute façon. J'ai toujours préféré les vraies failles :
http://lists.virus.org/full-disclosure-0802/msg00108.html
Je note le coup de l'imprimante, ca pourra servir!
Post a Comment