Cyber błędy w programach

[wrotycz]

Cyber błędy

 

Zwykle tego nie robię i nie wrzucam tu informacji o błędach oprogramowania bo "kogo to obchodzi?". Tym razem jednak obchodzi, a przynajmniej powinno, bo w bibliotece libwebp pojawił sie bardzo poważny błąd CVE-2023-4863: Heap buffer overflow in libwebp, polegający na przepełnieniu bufora stotu. Błąd może mieć dość poważne konsekwencje bo może być wykorzystany bez wiedzy, zgody i żadnej interakcji ze strony użytkownika - wystarczy odpowiednio spreparowany obrazek "webp" żeby potencjalnie wywalić program lub może nawet wykonać zewnętrzny kod. Jako, że błąd jest nowy (ma 7 dni) i został zauważony u źródła, żaden exploit nie został jeszcze wykryty na wolności. Błąd został już naprawiony w bibliotece, w Firefoksie i Chromium ale mogą się pojawić eksploity wykorzystujące go, liczące na to, że nie masz zaktualizowanej przeglądarki.
Dlatego zalecam to zrobić teraz.

Co zaskakujące, Nikt o tym błędzie nie pisze choć jest potencjalnie bardzo niebezpieczny. Jedyne co ratuje maluczkich to fakt, że błąd jest znany od tygodnia i odpowiednie spreparowanie takiego obrazka jest nietrywialne ale jeśli jest szansa na wykonanie kodu to exploit pojawi się na pewno.

PS. Zakładam taki a nie inny tytuł w razie gdyby się przyszłości coś poważnego znalazło i ktoś, niekoniecznie ja, chciał o tym poinformować.

 

[bbking]

Chciałbym postawić prywatny serwer gry (np. Minecraft albo Valheim) i zastanawiam się, czy VPS się do tego nadaje. Nie chcę hostować u siebie w domu. Jak to wygląda, jeśli chodzi o jakość i opóźnienia?

[Piter_1982]

@bbking co to ma do wątku?

[super_mario]

VPS nadaje się jak najbardziej, o ile wybierzesz coś z dobrą lokalizacją serwera i wystarczającą ilością RAM. Gry typu Minecraft potrafią zjeść sporo zasobów, więc nie warto brać najtańszego pakietu. Zaletą VPS-a jest to, że masz pełną kontrolę — możesz zmieniać ustawienia, instalować mody i restartować kiedy chcesz, bez zależności od innych użytkowników. Polecam spojrzeć na https://itsky.cloud/cart/serwery-vps — mają różne warianty, a opcje z systemem Windows też się sprawdzają, jeśli potrzebujesz GUI. Opóźnienia zależą głównie od położenia geograficznego, ale jak grasz z ludźmi z Polski, to nie powinno być problemu. I co ważne, nie musisz udostępniać własnego internetu, co bywa ryzykowne. 

Edited May 13 by super_mario

[Egregor Zeta]

W dniu 14.09.2023 o 15:38, wrotycz napisał(a):

błąd jest znany od tygodnia

Już półtora roku minęło, jak potoczyła się ta historia?

[wrotycz]

Błędy, luki i dziury dotyczące WhatsAppa.

 

WhatsApp załatany podatność nie wymagająca nawet kliknięcia wykorzystywana w atakach oprogramowania szpiegowskich Paragon; 19 marca 2025

Ale to jest najlepsze:

Firma odniosła się do wektora ataku pod koniec ubiegłego roku „bez potrzeby poprawki po stronie klienta” i postanowiła nie przypisywać CVE-ID po „przeglądaniu wytycznych CVE opublikowanych przez MITRE i [jej] własnych zasad wewnętrznych”.

 

S-syny, nie przyznali się do błędu i nawet nie przypisali mu numeru podatności, żeby nie było śladu, bo taką maja politykę wewnętrzną ¯\_(ツ)_/¯

 

WhatsApp wydaje ostrzeżenie nt luki bezpieczeństwa: „złośliwie spreparowana”; 10 kwietnia 2025
Aplikacja, która pozwala użytkownikom uzyskać dostęp do wiadomości WhatsApp po zsynchronizacji telefonu z komputerem, ostrzegła, że „złośliwie wykonane niedopasowanie” było obecne we wcześniejszej wersji witryny, i że użytkownicy powinni zaktualizować swoje urządzenia, aby uniknąć problemów.

 

 

Firma produkująca spyware dostała nakaz zapłacić 167 250 000 USD odszkodowania za włączenie hacków WhatsApp 1400 urządzeń smartfonów: raport; 8 maja 2025

Naruszenie bezpieczeństwa WhatsApp: Wykonane w Izraelu, wdrożone na całym świecie; 14 maja 2025

 

I ilustracja problemu w  części drugiej ("izraelskiej"):

 

 

 

On 5/13/2025 at 9:15 PM, Egregor Zeta said:

On 9/14/2023 at 3:38 PM, wrotycz said:

błąd jest znany od tygodnia

Już półtora roku minęło, jak potoczyła się ta historia?

 

 

Gogle załatały dziurę, więc kto aktualizował przeglądarkę (Chrome/Chromium klon/fork) ten był i jest bezpieczny.

Co by o s-synach nie powiedzieć to błędów w oprogramowaniu nie ukrywają i je naprawiają, w przeciwieństwie do Facebooka/Mety.

 

Edited May 17 by wrotycz