neprihlásený Sobota, 16. decembra 2017, dnes má meniny Albína   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Apple si vyrobila ďalšiu hanbu, aktualizácia na root chybu znefunkčnila zdieľanie súborov

Značky: Applebezpečnosť

DSL.sk, 30.11.2017


Spoločnosť Apple v krátkom čase vyrobila ďalšie programátorské zlyhanie a potenciálne už môže začať vznikať otázka aký kvalitný je aktuálne proces vývoja a kontroly kvality v Apple.

Bezpečnostná aktualizácia Security Update 2017-001 riešiaca problém s umožnením prístupu k macOS High Sierra 10.13 cez root účet bez hesla totiž spôsobila minimálne na časti počítačov znefunkčnenie zdieľania súborov cez sieť.

DSL.sk na to upozornil čitateľ, za tip ďakujeme.

Po inštalácii aktualizácie sa podľa sťažností užívateľov z ostatných Macov nedá dostať na zdieľané priečinky na počítači s macOS High Sierra 10.13 s inštalovanou aktualizáciou. Či sa problém týka každého počítača alebo kedy k nemu prichádza nie je jasné.

V každom prípade problém dnes priznala aj samotná spoločnosť Apple, ktorá zverejnila aj postup ako problém odstrániť. Potrebné na počítači, kde je inštalovaná aktualizácia, spustiť v príkazovom riadku sudo /usr/libexec/configureLocalKDC.

Presné technické príčiny problému zatiaľ nie sú známe, v každom prípade je zlyhaním neoveriť po uskutočnení zmien v autentifikácii funkčnosť autentifikácie u tak bežného spôsobu prístupu ako je prístup k zdieľaným súborom cez sieť, a to v každom scenári.


Tzv. goto chyba v implementácii SSL (kód: Adam Langley)



Technické príčiny a detailnejšiu analýzu chyby v macOS High Sierra 10.13, ktorá umožňuje získať privilegovaný prístup k počítaču neautorizovaným osobám prihlásiť sa ako užívateľ s administrátorskými oprávneniami, root, bez hesla alebo so zvoleným heslom, sme popisovali v tomto článku. Programátorská chyba je logickej povahy v postupe overovania hesla, aj keď zatiaľ nie je jasné ktorá konkrétna logická chyba je v kóde hlavná.

Pre Apple, ktorého softvér a platforma sú vnímané a objektívne sú vo viacerých aspektoch kvalitnejšie ako napríklad Windows, nejde o prvé zvláštne programátorské zlyhanie. Chyba eliminujúca základnú funkčnosť SSL v macOS a iOS, overenie identity servera, kvôli chybnému dvojnásobnému výskytu riadku goto fail v kóde a následný nepodmienečný skok pred overením identity serveru získala v roku 2014 tradičnú cenu Pwnie Awards za bezpečnostné zlyhanie roka na renomovanej konferencii Black Hat.


      Zdieľaj na Twitteri



Najnovšie články:

Úrad verejného zdravotníctva odporúča ako sa čo najmenej vystavovať žiareniu z mobilov
Veľká televízia sa pokúsi o remake The IT Crowd
Polovica ľudí si myslí, že kontroluje smartfón príliš často, a chce to obmedziť
Notebook pod kilo so štvorjadrovým Intelom a výdržou 22.5 hodín
USA pod vedením Trumpa zrušili sieťovú neutralitu
Umelá inteligencia Google už hľadá aj planéty, zatiaľ našla dve
Rusi si v utorok na seba globálne presmerovali dátovú prevádzku posielanú najväčším IT firmám
Briti dokončili kúpu SK-NIC-u. Nové .sk domény nechávajú za 8.4 eur
DSL rozchodili cez mokrý špagát, dosiahli 3.5 Mbps. Nesimulovali slovenské linky?
Po 4 mesiacoch je Android 8.0 Oreo iba na 0.5% Androidov


Diskusia:
                               
 

Applu posielam goto fail
Odpovedať Známka: 8.8 Hodnotiť:
 

dvakrat :D
Odpovedať Známka: 9.2 Hodnotiť:
 

dvakrat si niekto stlacil prikaz na kopirovanie riadka
Odpovedať Známka: -2.0 Hodnotiť:
 

gosub fail
a žiaden return
:D
Odpovedať Známka: 0.0 Hodnotiť:
 

pouzivat linux
Odpovedať Známka: 2.4 Hodnotiť:
 

goto fail;
Odpovedať Známka: 2.9 Hodnotiť:
 

a co?

dobre?
Odpovedať Známka: -1.4 Hodnotiť:
 

ta hej.
Odpovedať Známka: 4.0 Hodnotiť:
 

Rok 1968, http://dopice.sk/kE5
Odpovedať Známka: -1.7 Hodnotiť:
 

Keď to nevieš používať, tak to nepoužívaj.
Odpovedať Známka: 2.0 Hodnotiť:
 

tusim uz vo velkom pouzivaju super koderov z indie
Odpovedať Známka: 7.3 Hodnotiť:
 

ja ze z nvidie :)
Odpovedať Známka: 1.7 Hodnotiť:
 

nvidia ma tiez indov
Odpovedať Známka: 5.4 Hodnotiť:
 

A indovia maju nvidie
Odpovedať Známka: 7.3 Hodnotiť:
 

Z indie?
Odpovedať Známka: 7.8 Hodnotiť:
 

v Chennai sa koduje, Bangalore testuje a zvysok sveta sa chyta za hlavu
Odpovedať Známka: 8.9 Hodnotiť:
 

v AJOT-e nahanaju menezment na ryzovych poliach. sice neviem kde to je, ale vcera som to mal v krizovkach
Odpovedať Známka: 6.0 Hodnotiť:
 

Možno majú ale lepšie vzdelanie ako kóderi zo Slovenska.
Odpovedať Známka: -10.0 Hodnotiť:
 

sutazne prostredie vsade. Potom vznikaju taketo skolacke chyby zo stresu a nepozornosti. Spomaliť!!!
Odpovedať Známka: 2.0 Hodnotiť:
 

jak spomaliť? Prečo by nemohol jeden človekorobot robiť to, čo zvládnu poriadne spraviť 3 ľudia?
A čo že mešká? A čo že to kazí?
Odpovedať Známka: 5.6 Hodnotiť:
 

install arch
Odpovedať Známka: -3.3 Hodnotiť:
 

Hovno!
Odpovedať Hodnotiť:
 

Ani sa im necudujem.
Koho by napadlo testovat root bez hesla.
Odpovedať Známka: 5.6 Hodnotiť:
 

napr. upratovacku v hotelovej izbe :D
Odpovedať Známka: 7.8 Hodnotiť:
 

To akoze uzivatel Apple produktu ma otvarat nejaky prikazovy riadok a pisat tam nejake klikihaky, ktorym ani nerozumie? To sa robi na Linuxe, ani Microsoft si to nedovoli...
Odpovedať Známka: 4.8 Hodnotiť:
 

To je pravda. Ja sa stale divim ze tie Mac-ky maju na klavesnici tolko tlacitok. Staci aby Apple aktualizoval klavesnicu a odstranil pismeno 'R'. Potom by nikto nikdy na take chybu neprisiel.
Odpovedať Známka: 7.8 Hodnotiť:
 

Nevadí.

https://i.imgur.com/Z9H225Z.gif
Odpovedať Známka: 3.3 Hodnotiť:
 

niekedy je vo veľmi dobrom a vyladenom kóde logická chyba aj roky, a až náhoda jedného z tisíca pokusov, ktorá by nikoho pred tým nenapadla, vedie k oprave, ktorá však odhalí dalšie 3.

viem o čom hovorím, sám už roky programujem,
a niekedy aj po rokoch sám po sebe, sa podivím že prečo som to robil tak a nie tak, to sú skúsenosti.

treba mať na to bunky a robiť to už od základnej školy, a aby to aj človeka bavilo, chýb sa nebáť a dávať si bonusový čas, prinútiť tých čo to testujú aby to ozaj skúsili tak či onak a aj dali vedieť.

Po rokoch som nedávno narazil na program kolegu, ktorému chýbal riadny kus kódu a nik si toho roky nevšimol, ani ten čo to používal a testoval pred tým a ani programátor nevedel, lebo kódil rôzne na rôzne smery a všetci spoliehali na to že je už ostrieľaný.
Odpovedať Známka: 5.0 Hodnotiť:
 

Však to otestovali zákazníci, načo platiť stovky testerov, aby pred ich slávnymi premiérami ťahali 16 hodinové smeny. Zákazník je zadarmo, dokonca za svoje testovanie platí. Ekonomicky (v krátkodobom horizonte) je to výhodnejšie riešenie. V dlhodobom horizonte to je samozrejme stratové riešenie. Asi na to po MS prišiel aj Apple.
Odpovedať Známka: 10.0 Hodnotiť:
 

zmeny
Odpovedať Známka: -3.3 Hodnotiť:
 

Smena bolo správne.
Odpovedať Známka: 3.3 Hodnotiť:
 

presne tak, najlepsi tester je zakaznik, to je ako predat niekomu auto a airbag ci ide... co uz otestuj si sam, co ja mam s tym ze to nefunguje, vsak ja chcem iba Tvoje peniaze :)
Odpovedať Hodnotiť:
 

Ja by som priekazne poradil urychlnene zmenit povovlanie na take, ktore nevyzaduje pracu s PC.
Odpovedať Hodnotiť:
 

Kde je ten čo sa tu včera chválil ako rýchlo to už majú opravené?

Odpovedať Známka: 8.8 Hodnotiť:
 

Presne toto som chcel napisat! Ale teraz si aj tak vymysli vyhovorku...
Odpovedať Známka: 6.4 Hodnotiť:
 

Nepoužívanie zložených zátvoriek po if je otrasné a používanie goto ešte otrasnejšie.

Kombinácia týchto dvoch otrasov ani nemôže inak dopadnúť.
Odpovedať Známka: 8.3 Hodnotiť:
 

Bro v prvej poznamke suhlasim, v tej druhej nie :) a poviem ti aj preco. Ano goto by sa vseobecne nemalo pouzivat, je tu ale pripad kedy je to naozaj vhodne a prehladne a presne tento pripad mozes vydiet v kode. Je to pouzivane na osetrenie errorovych stavov kde v kode sa ti moze v jednej funkcii vyskytnut pri 4 podobnych podmienkach rovnaky error. V tomto pripade pouzitie goto error sa rovna prehladnemu a dobremu rieseniu.

(programujem v C uz 4 rokom, tym chcem povedat ze mam aspon male skusenosti)
Odpovedať Známka: 3.3 Hodnotiť:
 

Aj jaj jáj, tie errory vydieť. Mimochodom, v čom je stav lepší od chyby?
Odpovedať Hodnotiť:
 

Je fakt ze v drtivej vacsine kodu co som sa stretol od Apple, pouzivaju if() something;

Nechaprem preco nepouzivaju zatvorky.. if(){}.. asi riadok na viac je zly.

moc im ani nejde staticka analyza kodu, henten fail by nasiel aj valgrind...
Odpovedať Známka: 10.0 Hodnotiť:
 

Pôvodný nadpis článku na dsl.sk: High Sierra 10.13 užívateľov nasiera
Odpovedať Známka: 8.0 Hodnotiť:
 

Keď sa tak pozriem na potenciálnu userbase, ani sa pýtať netreba...
Odpovedať Známka: 0.0 Hodnotiť:
 

to sú tie zjednodušovania písania,
a fakt že každý to ma inak. taký python sa zasadne riadi iba odsekom. keď sa v ňom niekto učí ako v prvom jazyku, ziska nechutne zlý návyk.
Odpovedať Známka: 0.0 Hodnotiť:
 

Nehovoriac o tom ze stedre pouzivanie odriadkovanych kuceravych zatvoriek priekazne zvysuje vykon codera v LOC metrike.
Odpovedať Známka: 0.0 Hodnotiť:
 

BASIC code
10 PRINT "AHOJ"
20 GOTO 10
Odpovedať Známka: 3.3 Hodnotiť:
 

To ako keby tam mali kopu opic, ktore stlacaju tlacitka na generovanie roznych chyb.
Odpovedať Známka: -6.0 Hodnotiť:
 

To je tak ked sa ti mongoli sustreduju na anihovienka tak bezpecnost a odladenost ide do prdele. Preto mi moj iphon hori v ruke lebo nikto nema cas na optimalizaciu, vsetci posielaju kamaratom animoji.
Odpovedať Známka: 3.3 Hodnotiť:
 

Apple by mal vyrábať iba jablká, napríklad Golden Delicius. Ako povedal Forest je malá by to byť firma přez ovoce.
Odpovedať Hodnotiť:

Pridať komentár