• ГлавнаяНовостиНовостиНовости, 202007Новости, 202007 → Разработчики ОС «Аврора» исправили уязвимость в glibc

    Разработчики ОС «Аврора» исправили уязвимость в glibc

    Разработчики мобильной операционной системы «Аврора» устранили критическую уязвимость CVE-2020-6096 в glibc, которая проявлялась в реализации функции memcpy() для 32-разрядной платформы ARMv7. Реализация была переписана с использованием беззнаковых инструкций. Патч получился небольшой, но основная проблема состояла в сохранении скорости выполнения и исключении снижения производительности функций memcpy и memmove при сохранении совместимости со всеми комбинациями входных значений.

    КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента


  • Группы: ВК | FB | Tw | OK
  • Anketka - Мнения, за которые платят деньги.

    LovePlanet - Соцсеть знакомств для веб-мастеров.

    Biglion - Сила коллективных покупок.

    admitad - Сайт партнерских программ и рекламы.

    Miralinks - Рекламная кампания размещения статей для продвижения социальных сетей и сайтов.

    Liex - Биржа статей и ссылок в социальных сетях.

    GoGetLinks - Система размещения платных обзоров со ссылками в социальных сетях и сайтах.

    GetGoodLinks - Ссылки в социальных сетях и сайтах для размещения навсегда.

    Sape - Деньги на привлечении вебмастеров и оптимизаторов.

    Skrill - Сервис перевода денег.

    CPAzilla - Программа заработка на сайтах знакомств.

    1PS - Регистрация сайта в каталогах.

    Link - Реклама на сайтах.

P.c{font-size:75%;text-align:right;}img{border:0;padding:1px;}table{display:table;border-spacing:10px;}td{display:table-cell;padding:10px;vertical-align:top;}input[type=email],textarea{border-radius:3px;border:1px solid grey;margin:2px;width: 96%;}/*Обратная связь и подписка - кнопки*/ .buttons{background:#e0ffff;color:#dc143c;font-weight:700;border:1.5px solid black;border-radius: 4px;transition: 0.4s;}.buttons:hover {background-color: #4CAF50;color: white;box-shadow: 0 12px 16px 0 rgba(0,0,0,0.24), 0 17px 50px 0 rgba(0,0,0,0.19);cursor: pointer;}

В начале июня было подготовлено два варианта исправления, проходящих тестовый фреймворк мэйнтейнеров glibc и внутренний тестовый набор «Авроры». 3 июня был выбран один из вариантов и отправлен в список рассылки glibc. Через неделю был предложен еще один аналогичный по подходу патч, который исправлял проблему в multiarch-реализации. Месяц заняло тестирование и юридическое оформление. 8 июля исправления были приняты в основную ветку готовящегося релиза glibc 2.32. Реализация включает два патча: первый для multiarch-реализации memcpy для ARMv7, а второй для общей ассемблерной реализации memcpy() и memmove() для ARM.

«Очень важно не только использовать готовые opensource компоненты, но и обладать достаточной экспертизой для своевременного внесения изменений в глобальные
проекты, не дожидаясь пока кто-то это сделает за тебя, — комментирует Роман Аляутдин, директор департамента разработки ОС и сервисов компании «Открытая мобильная платформа» (ОМП) — разработчика ОС «Аврора». — Сегодня мы развиваем свою систему «Аврора» в трех российских центрах разработки и рады, что у нас такие эксперты есть».

История вопроса

Информацию об уязвимости опубликовали специалисты по информационной безопасности Cisco в мае 2020 г. По их данным, она была вызвана некорректной обработкой отрицательных значений параметра, определяющего размер копируемой области, из-за использования ассемблерных оптимизаций, манипулирующих знаковыми 32-разрядными целыми числами. Уязвимости был присвоен высокий уровень опасности, однако с ее исправлением возникли проблемы.

Разработчики мобильной операционной системы «Аврора» устранили критическую уязвимость CVE-2020-6096 в glibc

SUSE и Red Hat объявили о том, что проблема не затрагивает их платформы, потому что они не формируют сборки для 32-разрядных систем ARMv7. Остальные разработчики видимо решили, что проблему будут решать мэйнтейнеры glibc, и тоже не проявили желания заняться исправлением бага. Так, для Debian, Fedora, Ubuntu, OpenEmbedded, Tizen соответствующие пакеты не выпущены до сих пор. Собственный патч предложил Huawei, однако выяснилось, что он не обрабатывает все возможные комбинации входных данных.

Функция memcpy() активно применяется в приложениях, а процессоры ARMv7 распространены в автомобильных системах, мобильных, промышленных, потребительских, коммуникационных и встраиваемых устройствах, которые потенциально могут стать объектами атак с использованием Bluetooth, HD Radio/DAB, USB, CAN bus, Wi-Fi и других внешних источников данных.

Короткая ссылка Распечатать

Другие материалы рубрики

Минкомсвязи хочет влить миллиарды рублей в российскую мобильную ОС

Российские разработчики объединяются для создания решений на базе отечественных технологий

В России ИТ-оттепель: Вместо отечественного ПО на смартфоны будут предустанавливать только иконки для его скачивания

Появился первый антивирус Dr.Web для мобильной операционной системы «Аврора»

ОС «Аврора» и платформа управления «Аврора Центр» получили сертификаты соответствия ФСТЭК России

Европу ждет крупнейший в истории обвал рынка смартфонов. Россия пострадает больше всех

MARKET.CNEWS IaaS

Подобрать облачную инфраструктуру

От 346 руб./месяц

Dedicated

Подобрать выделенный сервер

От 1499 руб./месяц

VPS

Подобрать виртуальный сервер

От 30 руб./месяц

Colocation

Подобрать ЦОД для размещения ИТ-оборудования

От 815 руб./месяц

Техника Лучшие ноутбуки-трансформеры: выбор ZOOMЛучшие накопительные водонагреватели для квартиры: хиты продажПитаем от солнца: техника для дачи на солнечных батареяхРоутеры с поддержкой частоты 5 ГГц: хиты продаж 2020 годаПоказать еще Наука Черные дыры — неисчерпаемый источник энергии Следующее поколение миниатюрной электроники не за горами Обнаружен центр тяжести Солнечной системы Сахарная пудра — особый ингредиент при 3D-печати человеческих сосудов Показать еще Рейтинг CNews100: Крупнейшие ИТ-компании России

По итогам 2019 г. выручка участников CNews100 выросла до рекордных ₽1566 млрд.

Проект месяца «Универсальные» микросервисы: почему российский банк выбрал необычный способ подключения к СБП

Сергей Добриднюк

«Диасофт»

Рейтинг CNews100: Крупнейшие ИТ-компании России

По итогам 2019 г. выручка участников CNews100 выросла до рекордных ₽1566 млрд.

Проект месяца «Универсальные» микросервисы: почему российский банк выбрал необычный способ подключения к СБП

Сергей Добриднюк

«Диасофт»

Тема месяца Рынок решений для видеонаблюдения 2020

Рейтинг: крупнейшие поставщики решений для видеонаблюдения в России По итогам 2019 г. выручка 10 лидеров рейтинга выросла на 37%, до ₽7,2 млрд.

/*Спойлер/Accordion - для рубрик*/.accordion [type=checkbox]{display:none;}.accordion ul{list-style:none;}.accordion label{display:block;cursor:pointer;line-height:25px;background:#d95b43;border-radius:5px 10px 0 0;border:1px solid #542437;}.accordion label:hover,.accordion [type=checkbox]:checked ~ label{background:#c02942;color:#fff;}.accordion .rubcontent{height:0;transition:all .1s ease .1s;overflow:hidden;}.accordion [type=checkbox]:checked ~ .rubcontent{height:20%;border:1px solid #542437;padding:1px;}.rubcontent [type=email], .rubcontent [type=submit]{display:block;margin:0 auto;}@media (min-width:801px){/*Рубрики справа*/ .advert{font-size:85%;position:relative;margin-left:83%;margin-right:10px;z-index:5;}/*Мобильное меню - скрыть*/ #mob_menu{display:none;}/*Новости - анонс*/ #phablet td{display:block;}}
ГлавнаяНовостиНовостиНовости, 202007Новости, 202007 → Разработчики ОС «Аврора» исправили уязвимость в glibc

В «Одноклассниках» открылся колл-центр для жителей Санкт-Петербурга и области

Жители Санкт-Петербурга и Ленинградской области смогут решить свои жизненные и бытовые вопросы с помощью горячей линии в «Одноклассниках». Это стало возможным после внедрения в ОК онлайн-консультаций от Единой справочной службы СПб 122 на базе платфо...

Gartner: каждая вторая компания готова увеличить вложения в Интернет вещей

Соответствующий практический опыт у большинства организаций пока невелик, но он показывает, что подобные проекты стабильно окупаются в запланированный срок, отмечают аналитики....

«Вконтакте» запускает бесплатный конструктор сайтов на основе сообществ

«Вконтакте» представляет простой конструктор сайтов для бизнеса — с его помощью каждый может бесплатно и с любого устройства создать полноценный лендинг. Все, что для этого нужно, — собственное сообщество, которое и станет основой будущего сайта. Нас...

Слух: В Apple намерены заменить Google на собственный поисковик

Google якобы выплачивает Apple миллиарды долларов за статус поисковика по умолчанию в браузере Safari. В минюсте США видят в этом потенциальное нарушение антимонопольного законодательства....

Wildberries запустит продажи свежих продуктов питания и экспресс-доставку

Wildberries сообщает о запуске схемы поставок fulfillment by sellers (FBS), благодаря которой продавцы онлайн-площадки смогут перейти на самую низкую торговую комиссию Wildberries в размере 5%, а также предложить покупателям практически неограниченны...

[Популярные социальные сети][*Добавить сайт]


Группы: ВК | FB | Tw | OK

Рубрики | КАТАЛОГ | Новости | Контакты |