Het probleem is dus dat ming-w64-binaries wel claimen ASLR te doen maar het niet werkelijk doen.

ASLR is geen panacea; het is wel te omzeilen met wat handigheid. En VLC, ach, dat ding hangt aanelkaar van DLLs en third party libraries, dus best kans dat ook met werkende ASLR er wel een gat in te vinden is. Maargoed, dit probleem speelt dus voor alles dat ming-w64 gebruikt. En dat is heel wat meer dan VLC.

Overigens niet de eerste keer dat zoiets gebeurt. internet exploder deed ook wel ASLR maar je kon vanuit een webpagina forceren dat non-ASLR DLLs dynamisch geladen werden en dan ging de ASLR voor het hele programma foetsie. Oeps. Alweer een mooi voorbeeld van dat je beveiliging niet achteraf eraan kan plakken, dat moet je van het begin af aan inbouwen. En dat heeft om te beginnen die OS-fabrikant nou nog nooit gedaan.

De in het mailing list bericht genoemde workaround is:

Dynamic base aanzetten:

Dit zou voldoende moeten zijn, maar het werkt niet omdat het entry point 0x400000 gebruikt.

Genereer dynamic base flag en relocations.

Dit genereert een verkeerde entry point. Dat is te herstellen met:

Opnieuw een entry point opgeven:

Dank voor deze toevoeging. Kwalijke zaak dat deze bug schijnbaar nog niet gerepareerd is, in een veelvoorkomende compiler.

Opensource? Iedereen kon toch deze fout "zien" en melden? Blijkbaar heeft niemand deze fout eerder gezien.

Al zal deze fout al door andere gevonden zijn, maar niet gemeld.

De hele opzet met C en libraies komt uit de Unix Linux wereld. Even verder denken en je hebt de reden waarom dat een security chaos is. Dat van als die projecten en de compiler is het allemaal Open source. Het probleem had door iedereen gezien kunnen worden, niemand zag het totdat …

Ja maar hoe kan het ook anders, er was nog geen Windows en die werd als ik het goed heb in c geschreven,
dus karma wees maar blij met Unix want anders was er geen Windows.

Het werkt anders prima in de 'Linux wereld'. Pas als je ermee aan de slag gaat onder Windows begint de ellende. Want Windows ontwikkelaars kunnen niet programmeren. Ze zijn daarvoor teveel gehersenspoeld.

Ik weet niet wat je hier voor punt probeert te maken maar erg samenhangend is het niet.

Of het aan hersenspoeling ligt weet ik niet. Wel is het Dynamic Loadable Libraries-idee een beetje halfzacht en heeft het OS geen behoorlijk beveiligingsmodel, nooit gehad want DOS was toch maar voor een persoon. Terwijl Unix wel vrij snel multi-user werd, zelfs op de eigenlijk wat ondermaatse hardware waar het op begon, en daarom een simplistisch maar wel functioneel beveiligingsmodel heeft. Het is zeker niet perfect maar het is in de praktijk wel stukken beter dan wat windows heeft. Die laatste heeft wel allerlei features maar niemand die ze gebruikt en zelfs al zou je dat doen dan nog kun je er vaak vrij makkelijk omheen fietsen.

Zoals in het artikel staat is het in 2013 uitgebreid gemeld op de mailing list, maar kennelijk heeft niemand van het (erg kleine) mingw64 ontwikkelteam daar destijds actie op ondernomen. Het zou als een bug in binutils moeten worden gerapporteerd.

gcc is een compiler voor zowel linux als Windows. Mingw64 is een port naar Windows.

Gehackte IOT spul ... evangdlist: ligt niet aan linux.
Realiteit: Ligt wel degelijk aan linux. (gratis)
Gehackte websites php nosql etc evangelist:ligt niet aan linux. Realiteit:Ligt wel degelijk aan linux.(gratis goedkoop)
Hoeveel voorbeelden zij nodig dat dd ketting zo sterk is de zwakste schakel. Je bent er niet met een doosje.

Zo dadelijk ga je nog ontkennen dat C iets met linux van doen heeft. Mogelijk wil je ook nog ontkennen dat het om een oss alternatieve compiler gaat met een gebruikers lijst in de oss omgeving.

Het multiuser zijn van Unix (jaren 70) slaat nergens op. Geen echte scheiding noch een duidelijk securitymodel noch een basis interface als saf. Daarvoor had je in die tijd een veel beter alternatief.
Met de jaren 90 zijn die ervaringen doorgezet als NT wat veel verbeterde en zeker niet op het stand alone dos cpm lijkt.
In de huidige situatie lijkt linux meer op dat oude dos dan wat het toenmalige alternatief voor serieus werk was.

Je moet de achtergronden begrijpen en doorzien.
Je mist het nodige.

Windows NT is ontworpen door programmeurs van DEC voor de Alpha processor. Windows NT heeft niets met MS-DOS tot en met Windows Me te maken. Met Windows 2000 zijn Windows Me en Windows NT samengevoegd.

Unix is zwaar gebaseerd op Multics. Wat zijn tijd ver vooruit was.

Minix is door professor Tanenbaum ontwikkeld omdat Unix V door nieuwe licenties niet meer door informatica studenten gebruikt mocht worden om te leren om operating systems te bouwen.

Linux is direct op Minix gebaseerd.

Tja... Dat vind jij. Maar dat zegt eigenlijk weer genoeg over jouw denk patroon. Dat moet je niet vergeten.

Waar vinden de meeste data lekken nu werklijk op plaats? Wat wordt er het meeste gehacked? Waar draait dat allemaal op?

Ik vind niet dat Anoniem iets mist. In tegendeel! Ik vind de analyse van Anoniem vlijmscherp en getuigen van een gedegen vakkennis!

Gadverdamme 'CRT'

CRT == C Runtime ofwel C library

CRT != vies
WC == vies

Dat zeg ik: Windows Code is vies! En Windows programmeurs moeten eerst zelf worden gedeprogrammeerd voordat ze in staat zijn om te programmeren. Microsoft hersenspoeling, etc.

Ehm... CRT is als non-Microsoft en portable als het kan worden. Juist Linux/Unix programmeurs zullen mingw(64) gebruiken, in plaats van Microsoft Visual Studio.

hersenspoeling volgens mij heb jij daar een beetje last van. Er zijn namelijk heel veel goede Windows programmeurs. En zo zijn er ook veel slechte Opensource programmeurs.

Nee hoor, die zijn alleen maar gehersenspoeld om dat te denken. En om dat - best overtuigend voor de leek - uit te dragen aan de rest van de wereld.


Nee hoor, een programmeur die voor FOSS kiest bevrijdt zijn geest en is daarmee in één klap een excellente programmeur.

Tjonge, wat wordt hier een hoop onzin uitgekraamd:
Onzin. Mingw-w64 is geen product van die OS-fabrikant, het is een door anderen gemaakte ontwikkelomgeving voor Windows gebaseerd op ports van GCC en Binutils, en daar zit toch echt een fout in die je niet aan Windows toe kan schrijven.
Onzin. IBM heeft in OS/360 al partitioned data sets geïntroduceerd om load modules te organiseren, en een load module kan weer meerdere entry points hebben. IBM gebruikte al software libraries voordat aan de ontwikkeling van Unix begonnen werd. Verder is C niet bepaald een taal die je automatisch tegen beveiligingsproblemen beschermt, nee. Dat is assembler ook niet. Nou zijn delen van OS/360 t/m Z/OS in diverse assembler-dialecten geschreven.

Even verder denken en je hebt de reden waarom IBM's besturingssystemen een security chaos zijn. Niet dus, en daarom is dit een onzinnig argument.
Onzin. Het talent van een programmeur wordt niet bepaald door het platform waaraan of waarvoor hij of zij ontwikkelt, het talent blijkt uit wat die ervan weet te maken. En wat moet je met ontwikkelaars die zowel voor Windows als voor Linux ontwikkelen? Die bestaan, weet je?
Onzin. Het oude DOS zou ik nauwelijks een OS noemen, het was single-user en single-tasking, alleen met getructe TSR-programma's kon er een schamele nabootsing van multitasken worden gerealiseerd. Unix was van begin af aan geavanceerder dan dat, en de vergelijking met het huidige Linux slaat echt helemaal nergens op.
Onzin. Er is gratis software die van uitmuntende kwaliteit is en er is dure software die bagger is. De prijs is geen criterium voor de kwaliteit, daarvoor moet je naar de kwaliteit zelf kijken.
Onzin. Het is waar dat de (niet dd, corrigeer je posts eens voor je ze verstuurt) ketting zo sterk is als de zwakste schakel, maar die zwakte moet je niet toeschrijven aan sterke schakels in de ketting, die moet je aan zwakke schakels toekennen, anders maak je een domme attributiefout van een soort die je als probleemoplosser volkomen waardeloos maakt. PHP en een heel scala aan NoSQL-databases zijn beschikbaar voor Windows. Wil je beweren dat hetzelfde produkt op Windows sterk is en op Linux zwak? Of wil je beweren dat mensen automagisch zwakke software kiezen als ze Linux gebruiken? Of ben je misschien zelf net zo goed een evangelist die moeite heeft om dingen rationeel te benaderen?

Het is geen kwestie van talent. Het komt er gewoon niet meer uit na hersenspoeling. Programmeurs voor beide platformen heb je inderdaad. Daarvan aftrekken moet je degenen die in bv. Java programmeren, want die schrijven platformonafhankelijke code. Dan blijven er inderdaad over die zowel voor Windows als Linux programmeren. Die zijn natuurlijk - door hun hersenspoeling - met name verantwoordelijk voor de bugs in software die onder Linux draait. Microsoft herkent dat en is daarom de laatste tijd ook bezig om Linux te omarmen met o.a. die Bash-shell integratie.

Je spoort niet. Ik dacht even dat je dit onmogelijk serieus kon menen:
Ik weet er ook een. Een auto met een trekhaak is superieur omdat hij beter interoperabel is met alles wat je achter een auto zou kunnen hangen. Dus zijn mensen die voor een auto met een trekhaak kiezen superieure automobilisten worden alle aanrijdingen veroorzaakt door mensen die voor auto's zonder trekhaak.

Nogmaals, je spoort niet, je maakt attributiefouten die zo mogelijk nog absurder zijn dan die karma4 maakt.

Oké, vanaf vandaag ga ik alle reacties van The FOSS compleet negeren. Die gast is echt helemaal van lotje getikt! Ik reageer normaliter bijna nooit hier, maar moest dit toch even kwijt.

Ik zal in ieder geval mijn Dev-vrienden adviseren om Visual Studio te (blijven) gebruiken. Devvers hebben vaak helaas nog te weinig oog voor security (niet de devvers die op www.security.nl kijken) en zijn gefocust op de functionaliteitseisen van het product.

Daarom draait IOT ook zo goed? Allemaal door excellente programmeurs. Gelukkig ik slaap vannacht meteen een stuk beter.
Alle IOT security issues zijn in 1 keer door FOSS opgelost, immers het zijn "excellente programmeurs".

Je ziet meteen hoe gevaarlijk geloof is, ze geloven namelijk hun eigen uitspraken, en zien dat als de waarheid. De rest is evil.... Maar het eigen geloof is het beste......
Je bent hier het sprekende bewijs voor. Of je moet teveel last van de warmte hebben, maar "excellente programmeurs" hebben daar natuurlijk geen last van.

Je maakt wel meer mijn maandag goed. Ik lig even dubbel van het lachen. Bedankt.....

De https://nl.wikipedia.org/wiki/Satire gaat weer volkomen voorbij aan de lezers hier. Werken er dan alleen maar droogkloten in de ICT? Geen gevoel voor humor? Of zou het de warmte zijn?

Dat IoT zo mis gaat ligt niet aan de programmeurs maar aan de managers! Die willen met z'n allen voor een dubbeltje op de eerste rang zitten en zijn ronduit nalatig bij het configureren en updateble maken van hun product! Managers... Breek me daar de bek niet over open! Die lui hoef je niet eens te hersenspoelen!

Er is het nodige dat volkomen aan jou voorbij gaat, bijvoorbeeld dat dit helemaal geen satirische website is maar dat hier nieuws over serieuze onderwerpen staat, dat er mensen zijn die hier serieuze conversaties over proberen te voeren en dat mensen zoals jij dat knap lastig maken. Dat betekent niet dat we hier geen gevoel voor humor hebben, dat betekent dat loltrappen niet altijd en overal op zijn plaats is. Nog iets dat duidelijk aan jou voorbij gaat.

Wat ook aan je voorbij gaat is dat we die grijns op je smoel en andere mimiek en lichaamstaal van je niet kunnen zien, en dat we daardoor een hoop missen van waar je mee bezig bent. Advies uit bijvoorbeeld RCF1855 om dat te compenseren met een smiley is nu nog net zo actueel als toen dat in 1995 geschreven werd. Voeg een ;-) of een :-) toe als je een grapje maakt, dan zien we dat je erbij knipoogt of lacht. En als je hier alleen maar bent om keet te trappen ga dan alsjeblieft ergens anders spelen.

Of gewoon een bepaalde domheid van iemand? Zou ook zomaar kunnen.

Maar het zijn toch "excellente programmeurs"?

Je hebt een spiegel gevonden? Want sommigen zijn zó dom dat ze niet eens fatsoenlijk hun moedertaal beheersen.


Ik denk dat je de termen 'manager' en 'programmeur' nog niet helemaal begrepen hebt. Tja, dat Nederlands is toch nog best lastig hè. En dan de volgende stap, begrijpend lezen. Daarna komt het vormen van een mening. En dáárna pas komt het uiten daarvan.

Alsjeblieft zeg! Heb je het niveau van die 'serieuze' conversaties hier wel eens bekeken? Er zijn maar een handjevol posters die ik serieus neem.

De website is op zich een serieuze nieuwssite, en het niveau van een hoop reacties doet hem geen goed. Bedenk eens wat dan een constructievere houding is: met de trollen mee gaan trollen of serieus blijven?

Mijn sterkste kant is niet de Nederlandse taal. Daar kom ik gerust voor uit. Je zwakke punten weten, is een belangrijke. Je kan er dan namelijk op sturen. Weet je zwakheden....

Valt we mee hoor. Meer bij sommige is logica wat lastig omdat ze denken dat ze alles weten. Dat zijn de gevaarlijkste..... Ze denken namelijk dat dat god almighty zijn, en alle kennis en kunde in huis hebben. Maar in werkelijkheid......

Ken je zwakheden... [Q.E.D.]


Bij sommigen blijkt dat ze niet eens een zin die ze zelf opschrijven van begin tot eind kunnen overzien. Maar tegelijkertijd zich wel aanmatigen kritiek te leveren op de geestelijke vermogens van anderen. Tegen dat soort domheid is eigenlijk geen kruid gewassen.