Вот он, уровень классового сознания в IT. Это же развод, на который даже иные дети в детском саду не купятся (если зарплату заменить конфетами). Интересно, когда же массово начнет приходить понимание, что мы такой же пролетариат, и бизнес (капитал) нам враг.
Смешались в кучу кони, люди... Автор ничего не слышал про закон Амдала, и (как видно по бреду про три тыщи тредов) даже не удосужился сходить в википедию его понять после нескольких упоминаний в комментах, и то ли пытается изобрести уже изобретённый велосипед Smalltalk и Erlang в железе, то ли просто наглухо упоротый генерирует кликбейтные заголовки. Ибо архитектура фон-Неймана тут вообще абсолютно ни при чем (в каждом "мелком вычислителе" она будет точно такая же), а корни современной беды с плачевным состоянием софта лежат вообще не в технологиях - это организационная проблема. Менеджмент (то есть в конечном счете капитализм) требует выдавать тонны говнопродуктов как можно быстрее, для чего нанимаются толпы наспех недообученных быдлокодеров, которые, разумеется, уже попросту не могут чего-то там наизучать и оптимизировать, а вынуждены брать готовые слои абстракций и наворачивать их еще и еще. Без решения этой проблемы - а другая аппаратная архитектура потребует и изменения концептов программирования - ничего не выйдет: много щас хотя бы на Erlang пишут, не говоря уже о Smalltalk?..
Насчет каналов, сейчас этого хайпа и кликбейта постят, не разобравшись, все подряд, может и наоборот украли, но в общем пофиг. По сути из Telegram Info передают вот что:
Sominemo, [15 Apr 2024 00:51:38] Для pwn'а надо было или иметь на ПК жертвы Python SDK, или использовать неэкзотический формат исполняемого файла — но в последнем случае жертва увидела бы предупреждение об исполняемом файле. Ну и заставить жертву кликнуть по сломанному видео. Поэтому зона покрытия и серьёзность уменьшается.
Да и описываемый случай не подпадает под понятие RCE в общем понимании — а в заголовке именно крики про RCE, сразу надумывается возможность запуска кода от одного лишь прочтения сообщения.
Тут именно неправильное отображение типа файла и скрытие расширения, что в комбинации с опечаткой в расширении экзотического вида исполняемых файлов и немного минимальной социальной инженерии (нужно заставить юзера кликнуть на непонятное сломанное видео) позволяет запускать код на некоторых системах по одному клику без подтверждения пользователя.
В статье написано, что уязвимость "действительно была", и предоставляется видео одной теоретической, неподтверждённой уязвимости, которая выглядит, как RCE, а потом показывается совсем другая, не та, что на видео, которая под определение RCE может подпадать только если его очень сильно растягивать — до такой степени, что любая малварь будет RCE.
Перепишите, повесьте сверху UPD или удалите статью.
Насчет предоставления видео - можете предоставить, но простой вопрос: свежеустановленный Telegram спрашивает подтверждение на этот клик?
Мало того, что это чушь, так это еще и перепост из канала "НеКасперский" без отсылок? Сижу в обоих чатах с разработчиком Telegram Desktop, тема обсуждается уже сколько дней, так вот, коммит НЕ связан с видео - это результат обсуждений "а какую бы еще защиту от дурака впихнуть", поскольку клика оно таки требует. Процитирую комментарий оттуда:
Sominemo, [14 Apr 2024 20:39:42] Эта опечатка не связана, ее просто между прочим поправили. "Уязвимость" на разлетевшемся видео показывает картинку, которая при самом отображении, без каких либо кликов, исполняет код.
Список расширений, про который говорится в этом посте, используется только чтобы показывать предупреждения о том, что пользователь пытается открыть исполнимый файл, когда пользователь кликает на него.
В Telegram Desktop уже была другая похожая уязвимость, когда можно было залить exe-файл под видом сломанного видео, но:
для исполнения всё равно нужно было кликнуть по видео
desktop показывал предупреждение о попытке запустить исполняемый файл
чтобы запустить pywz всё равно нужно, чтобы на ПК была установлена среда для разработчиков Python.
Ещё раз повторюсь: это исправление не связано с разлетевшемся видео, так как на нём отправлялась картинка и не требовала кликов. Уязвимость, которую показывали на видео, никому так и не удалось подтвердить.
Ну, вообще-то нет. Общие анализы, действуют 14 дней, уже имелись, ЭКГ сдал прям перед гастроскопией, считаешь до десяти, потом минут через 20 просыпаешься, валяешься на всякий случай, через два часа уже прекрасно шлялся по городу.
Б-же, какая каша у автора в голове... Я не шарпист, я сишник, и автору тоже рекомендую начать с азов - со Стивенса и select() на Си, чтобы хотя бы начать понимать разницу между неблокирующимися вызовами и асинхронными. Потом треды и конечные автоматы. Когда устройство на низком уровне будет усвоено, станет понятно, как работает реализация на высокоуровневом языке. И весь этот псевдофилософский сумбур ("объект действия"? интуитивно понятен? ЩИТО?), местами даж фаллософский, станет не нужен.
А что это и откуда кадр?
Вот он, уровень классового сознания в IT. Это же развод, на который даже иные дети в детском саду не купятся (если зарплату заменить конфетами).
Интересно, когда же массово начнет приходить понимание, что мы такой же пролетариат, и бизнес (капитал) нам враг.
Смешались в кучу кони, люди... Автор ничего не слышал про закон Амдала, и (как видно по бреду про три тыщи тредов) даже не удосужился сходить в википедию его понять после нескольких упоминаний в комментах, и то ли пытается изобрести уже изобретённый велосипед Smalltalk и Erlang в железе, то ли просто наглухо упоротый генерирует кликбейтные заголовки. Ибо архитектура фон-Неймана тут вообще абсолютно ни при чем (в каждом "мелком вычислителе" она будет точно такая же), а корни современной беды с плачевным состоянием софта лежат вообще не в технологиях - это организационная проблема. Менеджмент (то есть в конечном счете капитализм) требует выдавать тонны говнопродуктов как можно быстрее, для чего нанимаются толпы наспех недообученных быдлокодеров, которые, разумеется, уже попросту не могут чего-то там наизучать и оптимизировать, а вынуждены брать готовые слои абстракций и наворачивать их еще и еще. Без решения этой проблемы - а другая аппаратная архитектура потребует и изменения концептов программирования - ничего не выйдет: много щас хотя бы на Erlang пишут, не говоря уже о Smalltalk?..
Да нет, от программистов и менеджеров она идёт. Овер 9000 слоёв абстракций.
Насчет каналов, сейчас этого хайпа и кликбейта постят, не разобравшись, все подряд, может и наоборот украли, но в общем пофиг. По сути из Telegram Info передают вот что:
Насчет предоставления видео - можете предоставить, но простой вопрос: свежеустановленный Telegram спрашивает подтверждение на этот клик?
Может, таки не "пробив", а "отстук"?
Шта? Последний абзац противоречит предыдущему. Да и не было такой защиты, по крайней мере раньше, потому что это любые переключения срубит.
Да, бред. См. https://habr.com/ru/articles/807535/#comment_26724187
Мало того, что это чушь, так это еще и перепост из канала "НеКасперский" без отсылок? Сижу в обоих чатах с разработчиком Telegram Desktop, тема обсуждается уже сколько дней, так вот, коммит НЕ связан с видео - это результат обсуждений "а какую бы еще защиту от дурака впихнуть", поскольку клика оно таки требует. Процитирую комментарий оттуда:
Sominemo, [14 Apr 2024 20:39:42]
Эта опечатка не связана, ее просто между прочим поправили. "Уязвимость" на разлетевшемся видео показывает картинку, которая при самом отображении, без каких либо кликов, исполняет код.
Список расширений, про который говорится в этом посте, используется только чтобы показывать предупреждения о том, что пользователь пытается открыть исполнимый файл, когда пользователь кликает на него.
В Telegram Desktop уже была другая похожая уязвимость, когда можно было залить exe-файл под видом сломанного видео, но:
для исполнения всё равно нужно было кликнуть по видео
desktop показывал предупреждение о попытке запустить исполняемый файл
чтобы запустить pywz всё равно нужно, чтобы на ПК была установлена среда для разработчиков Python.
Ещё раз повторюсь: это исправление не связано с разлетевшемся видео, так как на нём отправлялась картинка и не требовала кликов. Уязвимость, которую показывали на видео, никому так и не удалось подтвердить.
Астрологи объявили начало печальных времён для Северной Америки!
Какие пруфы/их давность по применению?
Так если человек засыпает, чем это отличается-то? Наркоз и есть.
Ну, вообще-то нет. Общие анализы, действуют 14 дней, уже имелись, ЭКГ сдал прям перед гастроскопией, считаешь до десяти, потом минут через 20 просыпаешься, валяешься на всякий случай, через два часа уже прекрасно шлялся по городу.
Откуда дровишки? Где пруфы?
Не, расскажите
Что за ГГТП?
Просто запихнули нужные дефайны в коробку?
Ну я показывал, а толку? Когда 95% не изменить, оно как-то желание несколько отбивает...
А ведь столько верных мыслей упаковано под соусом первоапрельской шутки, даже жаль.
Б-же, какая каша у автора в голове... Я не шарпист, я сишник, и автору тоже рекомендую начать с азов - со Стивенса и select() на Си, чтобы хотя бы начать понимать разницу между неблокирующимися вызовами и асинхронными. Потом треды и конечные автоматы. Когда устройство на низком уровне будет усвоено, станет понятно, как работает реализация на высокоуровневом языке. И весь этот псевдофилософский сумбур ("объект действия"? интуитивно понятен? ЩИТО?), местами даж фаллософский, станет не нужен.