On 23/12/19 18:45, Sabrewolf wrote:
Il 21/12/19 19:17, Davide Prina ha scritto:On 20/12/19 23:27, Sabrewolf wrote:In realtà fino ad ora io non ho visto neanche mezzo malware che si installa attraverso i bug delle cpu scoperti negli ultimi anni.come dicevo non è necessaria l'installazione... basta l'esecuzione. Ad esempio una pagina con del javascript.Così come non ho ancora visto un malware che sfutta i bug delle cpu, allo stesso modo non conosco pagine web (proof of concept) che eseguono codice non autorizzato attraverso tali bug.
hai proprio ragione.Anch'io non so guidare un aereo, né conosco nessuno che sappia farlo e neppure ho mai visto dal vivo qualcuno che guidasse un aereo. Quindi ne deduco che nessuno sia capace di farlo e anzi sia impossibile guidare un aereo... probabilmente gli aerei non esistono! ;-)
Ehi ma allora non esistono neanche i sottomarini, lo space shattle, la stazione spaziale internazionale, ... accidenti devono essere tutti prodotti della fantascienza :-(
Per esempio facebook sta cercando di convincere che ha necessità di tracciare i suoi utenti anche se questi hanno disabilitato il loro tracciamento[¹] (penso per le app di facebook, whatsup, ...). Secondo me questo è un malware... poi per altri potrebbe non esserlo ;-)Non credo che il GPS del cellulare o del navigatore satellitare si possa definire un malware :D
non hai letto né l'articolo, né quanto avevo scritto io :-(
Annunci si...Ma exploit ? Proof-Of-Concept ? Continuo a leggere annunci ma non vedo exploit...
in alcuni casi, come in questi, i ricercatori non diramano, almeno all'inizio, come sfruttare un bug. Se vai a leggerti i CVE probabilmente trovi come sfruttare alcuni dei bug dove hanno già rilasciato da tempo le mitigazioni del caso... e per sfruttarli facilmente con successo devi usare un PC che non abbia tali mitigazioni attivate.
Ad esempio, se fai qualche piccola ricerca con un qualsiasi motore di ricerca puoi torvare facilmente qualcosa, come questa: se conosci un po' l'assembler poi trovare un esempio che ti fa vedere come crearti delle istruzioni che, in teoria non possono essere eseguite come utente normale, ma grazie al fatto che per velocizzare l'esecuzione il processore esegue comunque le istruzioni successive... hai letto qualcosa che non avresti potuto leggere.
Ciao Davide [¹] https://www.theregister.co.uk/2018/01/04/intel_amd_arm_cpu_vulnerability/?__cf_chl_jschl_tk__=60612731c1adc9fec3ebeaff5f30c978cf97c50e-1577127663-0-Ac5iTQBadm8EOXPkkgRsXeT2TJCYayyt46UF-noZy1ckCA0u0GDVvMoEIny54NJ2YFMj8kB_uNGHcay5anyZhlA5Ni0t9wXAZH3m0c29TtekgVVwk3__LXamFSvlusf1k8KddbnPJFrYmKw40oF5ZSIfip1XugZPHDUDcly3_dNd8Ym-CY9R3_mQYx3UbFqie6P8UIZ2YWI4ncHB2HfsdM9dAR982aBB12qjX1cbdeFkOliblUrI0Z3gdldUSz4WZ4Q64yApwcH1TAveqaXPtguVC5RsCRXwy3bCkkZO7l_-3odQn5S_ik2yse4vNhnzDg -- Dizionari: http://linguistico.sourceforge.net/wiki Elenco di software libero: http://tinyurl.com/eddgj GNU/Linux User: 302090: http://counter.li.org Non autorizzo la memorizzazione del mio indirizzo su outlook