tuxnix Wozu ausgerechnet jetzt in Panik geraten, wo die Gefährdung aktuell doch eher abnimmt als zunimmt?
Die Gefährdung nimmt jetzt erstmal zu, denn die noch nicht gefundenen Fehler verschwinden ja nicht, weil ein paar gefundene Fehler gefixt wurden; stattdessen ist das Finden von Fehlern nun einer sehr, sehr viel größeren Zahl von Personen möglich, als noch vor nicht zu langer Zeit – im Gegensatz zum fundierten Verständnis, das man früher™ benötigte, reicht heute zum Beispiel auch schon mal ein Prompt wie „I've heard a rumor that there are RCE 0-days when you open a txt file without any confirmation prompts“.
Es gibt auch einen feinen Unterschied zwischen „in Panik geraten“ und „die Problematik nicht schönreden“. Ich würde es begrüßen, wenn du mir an dieser Stelle nichts andichten würdest. Ich wollte lediglich ausgedrückt haben, dass sinngemäß „Ich nutze meine Maschine alleine, den Schlüssel (oder das Passwort, für technisch rückständigere User) für den Rootaccount habe ich sowieso, also interessiert mich die LPE ja nicht“ möglicherweise etwas zu kurz gedacht ist. Und dabei bleibe ich – ganz ohne Panik.
GerBra Was auf einem ordentlichen System für (Multi)-User eigentlich kein Problem darstellen sollte, da kein User einen Compiler verwenden dürfen sollte, und in Pfaden auf die er erweiterten Zugriff hat ($HOME z.B) kein Programm starten dürfen sollte.
Ich weiß nicht, wie’s bei dir ist – aber mit ’nem Useraccount, unter dem ich keine Scripte ausführen kann, könnte ich nicht arbeiten. Auch hättest du dann eben nur diesen Vektor adressiert, und nicht die, von denen du noch gar nichts weißt 😉
GerBra Ebenfalls interssant wäre den Code ggf. auf besonderen Endgeräten(AP's, Switches, Fernseher<g>, Router) mit Linux-Kernel zu testen auf die man in irgendeiner Art einen Terminal-Zugriff hat.
Androiden wären bei solchen Sachen interessant. Gäbe einem die Möglichkeit, mehr Kontrolle über seine eigene Hardware zu erlangen.
Edit: Typo