Recent searches
Search options
Administered by:
Začíná mě trochu štvát ten hon za senzacemi v cybersecurity - najdete zranitelnost, co reálně není zranitelnost, uděláte z toho haló (a reklamu na svojí společnost) a vaši kolegové z oboru mají práci navíc s uváděním věcí na pravou míru.
Jinými slovy, i bez použití nedokumentovaných rozhraní v ESP32 máte problém, když se vám do něj někdo dostane jako root nebo fyzicky - ty rozhraní vám v tu chvíli jen umožní trochu věcí navíc s rádiovýma rozhraníma (což umí půlka síťovek na trhu).
@kayla_eilhart Tento konkrétní případ nehodnotím. Nemám dost informací, ale obecně z těch CVE, kde je k exploitu potřeba root nebo fyzický přístup, rostu. Je to asi jako by někdo hlásil, že na záchodě mám zevnitř otevíratelné okénko a abych si ho otevřel, tak potřebuju klíče od hlavních dveří do domu.
@sesivany Přesně na to narážím.
@kayla_eilhart Přijde mi, že už se to taky pomalu mění, ale tak 2-3 roky nazpátek k tomu zákazníci přistupovali úplně mechanicky: komponenta má určitý počet zranitelností a čím víc opraveno, tím automaticky lépe. Těžce se jim vysvětluje, že opravy některých CVE v podporovaných nasazeních k žádnému zvýšení bezpečnosti nepovedou a že je lepší věnovat energii těm opravdu podstatným a ne ji rozmělňovat v opravách těch nerelevantních jen kvůli tomu, že to dobře vypadá v tabulkách.