การแก้ไขข้อบกพร่องด้วย Apple แก้ไขได้ทั้งวัน

来源:เว็บไซต์ทางการของการแข่งขันกีฬา Fifa55 author:严柁癃 人气: 发布时间:2019-08-22
摘要:Landon Fuller ผู้พัฒนาโอเพ่นซอร์สตีหัวข่าวเมื่อต้นเดือนมกราคมเมื่อเขาประกาศแผนการทะเยอทะยานเพื่อสนับสนุนความปลอดภัยของซอฟต์แวร์ Apple ฟูลเลอร์ได้สาบานที่จะสร้างหรือจัดหา ซึ่งเป็นการริเริ่มการโต้เถียงโ
Landon Fuller ผู้พัฒนาโอเพ่นซอร์สตีหัวข่าวเมื่อต้นเดือนมกราคมเมื่อเขาประกาศแผนการทะเยอทะยานเพื่อสนับสนุนความปลอดภัยของซอฟต์แวร์ Apple

ฟูลเลอร์ได้สาบานที่จะสร้างหรือจัดหา ซึ่งเป็นการริเริ่มการโต้เถียงโดยนักวิจัยด้านความปลอดภัยสองคน . เป้าหมายของฟุลเลอร์คือการปกป้องผู้ใช้ด้วยการค้นหาการแก้ไขอย่างรวดเร็ว

แม้ว่าเขาจะไม่ใช่มืออาชีพด้านความปลอดภัยเต็มเวลา แต่ฟุลเลอร์มีความรู้อย่างกว้างขวางเกี่ยวกับ Apple เคยทำงานในกลุ่มเทคโนโลยี BSD

เว็บไซต์น้องสาวของ CNET News.com ZDNet UK สัมภาษณ์ Fuller ทางอีเมลเพื่อหาสาเหตุที่เขาทุ่มเทเวลาให้กับ และเรียนรู้มุมมองของเขาเกี่ยวกับการเปิดเผยอย่างรับผิดชอบและความปลอดภัยของรหัส Microsoft และ Apple

ถาม: อะไรที่กระตุ้นให้คุณทำงานแก้ไขข้อผิดพลาดที่เผยแพร่โดย MOAB ในบล็อกของคุณคุณอธิบายว่าเป็น "การออกกำลังกายสมองส่วนบริการสาธารณะส่วนหนึ่ง"
ฟูลเลอร์: การออกกำลังกายด้วยสมองการแก้ไขจุดบกพร่องใหม่ในแต่ละวันเป็นความท้าทายด้านเทคนิค ฉันได้รับการแนะนำให้รู้จักกับชิ้นส่วนของระบบปฏิบัติการที่ฉันไม่เคยสำรวจมาก่อนและได้รับความเข้าใจที่สำคัญยิ่งขึ้นว่ามันทำงานร่วมกันได้อย่างไร มันสนุกที่ได้ทำงานร่วมกับนักพัฒนา Macintosh คนอื่น ๆ ในประเด็นเหล่านี้

ในทางกลับกันนี่ไม่ได้เป็นเพียงแค่การฝึกอบรมทางเทคนิคเท่านั้น แต่ช่องโหว่ที่สำคัญยังได้รับการเผยแพร่โดยไม่แจ้งผู้ขายและฉันเชื่อว่าการให้ทางเลือกแก่ผู้ใช้จะเป็น ฉันหวังว่าฉันจะสามารถช่วยชี้แจงความเสี่ยงของช่องโหว่ได้เนื่องจากฉันไม่เชื่อว่าผู้ใช้ควรใช้แพตช์ของเราโดยไม่เข้าใจความเสี่ยง

คุณมีความสุขกับการตอบสนองจากชุมชนนักพัฒนาถึงคำขอเริ่มต้นของคุณเพื่อขอความช่วยเหลือหรือไม่? MOAB Fixes Google Group ทำงานได้ดีเพียงใด คุณจะได้ประโยชน์จากความช่วยเหลือเพิ่มเติมหรือไม่
ฉันมีความสุขมากกับการตอบรับจากเพื่อนและเพื่อนร่วมงานในชุมชนนักพัฒนา Macintosh และ Darwin พวกเขาได้ให้คำแนะนำความช่วยเหลือในการพัฒนาและยังได้ผลิตตัวแก้ไขข้อผิดพลาดบางอย่าง ฉันจะไม่ลดความช่วยเหลือลงอีก - ปัญหาเหล่านี้ซับซ้อนและเราทุกคนมีงานประจำวัน

กระบวนการในการเข้ารหัสโปรแกรมแก้ไขสำหรับช่องโหว่ของซอฟต์แวร์ Apple คืออะไร คุณต้องทำอะไรเพื่อเขียนแพทช์?
การเขียนโปรแกรมปะแก้ต้องใช้เวลาในการดีบักเกอร์เพื่อกำหนดว่ารหัสใดผิดพลาดเป็นพิเศษและวิธีที่ดีที่สุดในการแก้ไข ในฐานะบุคคลที่สามโดยทั่วไปฉันไม่สามารถเข้าถึงแหล่งที่มาได้ซึ่งต้องการวิศวกรรมย้อนกลับของรหัสที่เป็นปัญหา เมื่อฉันได้พิจารณาแล้วว่าโค้ดทำงานอย่างไรฉันสามารถเขียนแพทช์ที่ล้อมโค้ดที่เปราะบางปฏิเสธข้อมูลที่อาจทำให้เกิดข้อผิดพลาดและอนุญาตให้ใช้ประโยชน์ได้สำเร็จ

นี่คือแพทช์ แต่ไม่ใช่การแทนที่สำหรับการแก้ไขที่มาจากผู้ขาย ฉันคิดว่า "Band-Aid" เป็นคำที่เหมาะสม

คุณมีความเห็นอย่างไรต่อเดือนของ Apple Bugs พวกเขาบอกว่าการเปิดเผยอย่างรับผิดชอบไม่ได้ผลลัพธ์ที่ดี ความคิดเห็นของคุณคืออะไร?
ฉันไม่ใช่นักวิจัยด้านความปลอดภัยโดยการค้าและฉันมีประสบการณ์ จำกัด ในการเปิดเผยช่องโหว่ให้ Apple หรือผู้จำหน่ายรายอื่น ดูเหมือนชัดเจนว่าสมาชิกบางคนของชุมชนความปลอดภัยรู้สึกผิดหวังแม้กระทั่งกับการจัดการปัญหาด้านความปลอดภัยของ Apple เป็นความหวังของฉันที่จะกล่าวถึงความคับข้องใจของพวกเขาและ Apple สามารถสร้างและรักษาความสัมพันธ์เชิงบวกกับชุมชนความปลอดภัยโดยรวม อย่างไรก็ตามฉันไม่เห็นด้วยกับการเปิดตัวช่องโหว่ที่สำคัญด้วยการแจ้งเตือนผู้ขายเป็นศูนย์โดยไม่คำนึงถึงผู้ขาย

ทำไมคุณถึงได้รับมอบหมายให้แก้ไขข้อบกพร่อง? เห็นได้ชัดว่าคุณมีประสบการณ์มากมาย แต่ความเข้าใจของฉันคือคุณไม่ได้ทำงานกับ Apple อีกต่อไป?
ฉันไม่แน่ใจว่า "มอบหมาย" เป็นคำที่เหมาะสม ฉันไม่ได้ทำงานให้กับ Apple และนี่เป็นการแสวงหาเวลาว่าง วันที่ 1 มกราคมเป็นวันหยุดทำงานและฉันเพิ่งเจอปัญหา แรก

ความเห็นของคุณเกี่ยวกับความรุนแรงของการหาประโยชน์ที่เป็นไปได้สำหรับข้อบกพร่องที่เผยแพร่จนถึงตอนนี้คืออะไร ภัยคุกคามร้ายแรงหรือมีทฤษฎีมากกว่านี้หรือไม่?
ข้อบกพร่องมีความรุนแรงแตกต่างกันไป ฉันจะบอกว่าข้อบกพร่อง QuickTime เป็นสิ่งที่สำคัญที่สุดจนถึงปัจจุบันและเป็นภัยคุกคามที่ร้ายแรง ในขณะเดียวกันก็มีความสำคัญช่องโหว่ OmniWeb ได้รับการแก้ไขในเวลาเพียงไม่กี่ชั่วโมงโดย The OmniGroup และทีม VLC เปิดตัวการอัปเดตภายในสองสามวัน

จนถึงขณะนี้ซอฟต์แวร์ของ Microsoft เป็นเป้าหมายสำคัญของแฮกเกอร์ เมื่อซอฟต์แวร์ของ Apple ได้รับความนิยมมากขึ้นจะมีการเขียนการหาประโยชน์เพิ่มเติมหรือไม่
ฉันไม่ดีมากในการทำนายอนาคต แต่ฉันคิดว่าขนาดของฐานที่ติดตั้งเป็นปัจจัยเมื่อมันมาถึงธุรกิจของการประนีประนอมคอมพิวเตอร์

คุณคิดว่าการย้ายไปที่ชิปของ Intel จะส่งผลต่อประสิทธิภาพความปลอดภัยโดยรวมของแพลตฟอร์มหรือไม่?
ไม่ใช่โดยตรง แต่ฉันไม่คิดว่ามันไม่มีเหตุผลที่จะคำนึงถึงความเชี่ยวชาญด้านความปลอดภัยที่มีอยู่กับชุดประกอบ x86

มีการถกเถียงกันบ้างเกี่ยวกับความปลอดภัยของรหัส Apple และ Microsoft บางคนแย้งว่ารหัสของ Microsoft นั้นมีข้อบกพร่องตั้งแต่ต้นในขณะที่ Apple ก็เขียนรหัสที่ปลอดภัยมากขึ้น ความคิดเห็นของคุณคืออะไร
Mac OS X ประกอบด้วยรหัสจำนวนมหาศาลจากแหล่งข้อมูลที่หลากหลายรวมถึง NeXt, โครงการ FreeBSD, โครงการ NetBSD และรหัสแอปเปิ้ลรุ่นเก่าที่นำหน้าการซื้อ Next ฉันไม่คิดว่าจะมีใครสามารถประกาศได้ว่าระบบที่ซับซ้อนเช่นนี้ที่เขียนโดยบุคคลหลายคนในองค์กรต่าง ๆ ในเวลาต่างกันนั้นประกอบด้วยรหัสที่เหนือกว่าและดีกว่า

ตัวอย่างเช่น Firefox เป็นเบราว์เซอร์ที่ยอดเยี่ยม แต่ นั้นเพียงพอที่จะนำไปสู่การเรียกใช้โค้ดจากระยะไกล

ในขณะที่ใช้ข้อผิดพลาดเพียงครั้งเดียวมีขั้นตอนทั่วไปบางอย่างที่ Apple สามารถใช้เพื่อช่วยลดผลกระทบของข้อบกพร่องดังกล่าว สแต็ก "nonexecutable" เป็นตัวอย่างหนึ่งและนำมาใช้กับเครื่อง Intel ของ Apple การสุ่มพื้นที่ที่อยู่เป็นอีกหนึ่งขั้นตอนบวกที่จะปิดบางส่วนของหลุม (เช่น return-to-libc) ที่ช่วยให้การใช้ประโยชน์จากการเลี่ยงผ่านการป้องกันสแต็กที่ไม่สามารถดำเนินการได้

Tom Espiner จาก รายงานจากลอนดอน

แบ่งปันเสียงของคุณ

แท็ก

责任编辑:admin

最火资讯:เว็บไซต์ทางการของการแข่งขันกีฬา Fifa55