Utgår från att alla zero-day sårbarheter har CSV IDn (framförallt alla som antivirus känner till), så borde inte vara några svårigheter alls att hitta referenser till dem.
Det förutsätter att de verkligen beskrivs som 0-day också, och det var vad jag menade med de som fixas i antivirus.
De flesta högpresterande inbyggda system som primärt är I/O-bundna kommer inte patchas.
Orsak? De påverkas relativt mycket av fixarna, framförallt Spectre variant 2 och Meltdown. De är väldigt ofta anslutna mot internet, men ändå bedömer de flesta säkerhetsexpert detta som ett icke-problem då den här typen av system inte tillåter installation av program som på en "vanlig" PC.
För att utföra attacken måste den som utför attacken först (d.v.s. innan de kan dra nytta av sårbarheterna) placera egen kod i systemet. För att lyckas med det måste man normalt hitta en sårbarhet i kärnan eller på annat sätt få systemet att acceptera ny kod, har man kommit dit är liksom systemet redan kört...
Det finns till exempel en hel uppsjö av routrar där en enkel SQL-injection fungerar för att köra godtycklig kod, några av dem kör även godtycklig kod med en specialformaterad GET-sträng på port 80. "Installation" (jag antar att du menar som i att köra ett installationsprogram eller likvärdigt) av program är verkligen inte ett krav för att en utomstående ska kunna köra egen kod. Återkommer till denna punkt nedan.
Har du en säkerhetsbugg i kärnan är du mycket riktigt redan körd, men det är ju inte i närheten lika vanligt som en säkerhetsbugg i en webbläsare. De flesta av buggarna i Linux på senare år har vad jag vet varit av typen "denial of service", det vill säga att systemet slutar svara. Skulle inte förvåna mig om samma sak gäller NT, den är tillräckligt gammal nu för att rest statistiskt ha de flesta lättåtkomliga hål fixade.
Inte riktigt lika extremt för vanliga PC. Här handlar det dock ändå om vinst i prestanda kontra ökad risk. Du måste ju ändå hålla med om att riskökningen är liten när vi pratar Meltdown och mikroskopisk för Spectre variant 2 på en vanlig PC. Ser liksom inte vilka stora hot du ser när förutsättningen är att man först blir smittad av virus...
Folk kör ju gladeligen med överklockat RAM, det trots att många av dessa system då blir mottagliga för "rowhammer". Rowhammer är ju som Meltdown på steroider, där finns ju kända sätt att få "root/admin-access" då man kan skriva till RAM (Meltdown/Spectre tillåter endast läsning). Men även för Rowhammer krävs att den som utför attacken först kan köra program på det lokala system, i vissa lägen går det dock att utnyttja JavaScript via webbläsaren.
Rowhammer är en ganska unik attack eftersom den attackerar den fysiska layouten i moderna RAM-minnen. Det har att göra med hur tätt packade cellerna är och hur urladdningskaraktären på raderna av celler ändrar sig under extrem last. Jag håller med om att Rowhammer är illa, men den är inte riktigt lika predikterbar som Meltdown och då grundar jag det mest på att den beter sig så olika beroende på omständigheterna. Har inte hört något om att det skulle vara förvärras av överklockning men det låter inte orimligt eftersom det ställer högre krav på drivelektroniken.
Du har dock börjat gå in i rätt spår här med attackytan. JavaScript är nog en av de enklaste vägarna in för skadlig kod, det gäller så gott som oavsett vilken exploit du siktar på. Till exempel kan du utnyttja en säkerhetsbugg i ffmpeg genom att skicka in en specialgjord videofil i ett HTML5-element. WebKit är ju också ökänd för sina många säkerhetshål och om du någonsin har försökt kompilera WebKit så inser du nog också varför så är fallet.
Det finns också aspekten som jag började på ovan; vissa källor litar du på för mycket utan att ens tänka på det. Hur många litar på att deras router inte försöker ge ut skadlig kod? Eller Google? Eller annonsörer?
Samma sak här: uppenbarligen bedömer många att värdet i att få något högre prestanda uppväger den ökade risken med att bli attackerad.
Vilket i min åsikt är en felbedömning gjord på dåliga underlag.
Finns i.o.f.s två förklaringen till: dels är vissa kanske inte medveten om att de utsätter sig för en ökad risk. Ser jag som ett icke-problem, de har ändå på eget bevåg valt att göra detta (och vill som sagt se out-out för Meltdown/Spectre variant 2 på Windows precis som man har på Linux).
Fast nu har jag ju redan gått in på varför det i Linux är det mer en "opt-right" snarare än "opt-out", även om det går att uppnå båda målen.
Dels finns det också system som är helt dedicerade till en viss uppgift. För mig är det helt irrelevant om någon skulle lyckas köra en Meltdown attack på min spelmaskin, den innehåller ändå inget av värde! Så med vetskap om det vill jag ha valmöjligheten att köra utan patchar (skulle i.o.f.s. inte använda det på en spelmaskin, prestandavinsten är för liten, men skulle mycket väl kunna tänka mig det på en byggserver).
Det är väldigt många som tycker att de inte har något att dölja tills deras information börjar läcka ut. Till exempel hur dina surfvanor ser ut, vilka tider på dygnet det går att köra en miner på din dator utan att du märker något, eller hur långa dina lösenord brukar vara.
En genomsnittlig byggserver är desto mer känslig eftersom den hämtar in extern kod, kompilerar och kör en testsvit från samma källkodsträd. Om någon olovligt skulle få tag i skrivaccess till repot (har hänt diverse repon) skulle alla byggservrar köra den skadliga koden. Det är liksom julafton för hackare om de kunde få UID 0 (eftersom jag antar att du syftar på de som kör Linux här) på en serie byggservrar.
Mjölnir: Ryzen 9 3900X | X570-I | Ballistix Sport 32GB | Powercolor RX 5500XT 4GB ITX | Kolink Sattelite
Server: Ryzen 5 1400 | X470-F | Ballistix Sport 24GB | ASUS HD 7790 2GB | Sapphire RX 470 8GB ME | NZXT Switch 810
