The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критическая уязвимость в Wasmtime, runtime для WebAssembly-приложений

10.03.2023 17:42

В корректирующих обновлениях Wasmtime 6.0.1, 5.0.1 и 4.0.1 устранена уязвимость (CVE-2023-26489), которой присвоен критический уровень опасности. Уязвимость позволяет организовать запись данных в область памяти вне границы, допустимой для изолированного WebAssembly-кода, что потенциально может быть использовано атакующим для организации выполнения своего кода вне изолированного окружения WASI.

Wasmtime представляет собой runtime для выполнения WebAssembly-приложений с расширениями WASI (WebAssembly System Interface) как обычных обособленных приложений. Инструментарий написан на языке Rust, а уязвимость вызвана логической ошибкой при определении правил линейной адресации памяти в генераторе кода Cranelift, транслирующем независимое от аппаратных архитектур промежуточное представление в исполняемый машинный код для архитектуры x86_64.

В частности, для WebAssembly-приложений рассчитывались 35-разрядные эффективные адреса вместо разрешённых в WebAssembly 33-разрядных адресов, что сдвигало границу допустимой для операций чтения и записи виртуальной памяти до 34 ГБ, в то время как настройки sandbox-окружения предоставляют защиту для 6 ГБ от базового адреса. В итоге, диапазон виртуальной памяти от 6 до 34 ГБ от базового адреса оказывался доступен для чтения и записи из WebAssembly-приложений. В данной памяти могут размещаться другие окружения WebAssembly или компоненты WebAssembly runtime.

При невозможности обновить версию Wasmtime в качестве обходных путей для блокирования ошибки упоминается указание опции "Config::static_memory_maximum_size(0)" для включения обязательной отдельной проверки границ при любом доступе к линейной памяти (приводит к существенному снижению производительности). Другим вариантом является использование настройки "Config::static_memory_guard_size(1 < 36)" для увеличения числа с сторожевых страниц памяти (Guard Page, при обращении генерируется исключение), размещаемых в проблемном диапазоне виртуальной памяти (приводит к резервированию большого объёма виртуальной памяти и ограничению числа одновременно выполняемых WebAssembly-приложений).

  1. Главная ссылка к новости (https://groups.google.com/a/by...)
  2. OpenNews: Доступен Emscripten 3.0, компилятор из C/C++ в WebAssembly
  3. OpenNews: Mozilla, Fastly, Intel и Red Hat продвигают WebAssembly, как платформу для универсального применения
  4. OpenNews: Доступен предварительный вариант стандарта WebAssembly 2.0
  5. OpenNews: Mozilla развивает WASI для использования WebAssembly вне браузера
  6. OpenNews: Доступен Wasmer 3.0, инструментарий для создания приложений на базе WebAssembly
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/58775-wasmtime
Ключевые слова: wasmtime, wasm, webassembly
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (118) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Иваня (?), 18:12, 10/03/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +20 +/
     
     
  • 2.12, annonn (?), 18:30, 10/03/2023 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
     
  • 3.39, Аноним (39), 19:36, 10/03/2023 Скрыто ботом-модератором     [к модератору]
  • +8 +/
     
     
  • 4.47, anon_III (?), 19:57, 10/03/2023 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 5.57, Аноним (39), 20:23, 10/03/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 3.77, trdm (ok), 21:24, 10/03/2023 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
  • 2.20, Аноним (20), 19:07, 10/03/2023 Скрыто ботом-модератором     [к модератору]
  • –3 +/
     
     
  • 3.24, Аноним (24), 19:11, 10/03/2023 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
     
  • 4.26, Аноним (26), 19:18, 10/03/2023 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
  • 3.25, Аноним (25), 19:14, 10/03/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.40, eganru (?), 19:38, 10/03/2023 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
     
  • 3.44, Аноним (39), 19:46, 10/03/2023 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
     
  • 4.46, eganru (?), 19:55, 10/03/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 5.56, Аноним (39), 20:21, 10/03/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 6.59, Аноньимъ (ok), 20:29, 10/03/2023 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 3.55, Аноним (55), 20:20, 10/03/2023 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     

     ....ответы скрыты (15)

  • 1.2, Аноним (2), 18:13, 10/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +31 +/
    " запись данных в области памяти вне границы "
    " на языке Rust "

    ну дык! на C писать надо было!

     
     
  • 2.6, Аноним (26), 18:18, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    С си такое не могло случиться, потому что там никто не верит в обещания.
     
     
  • 3.98, Аноним (98), 00:15, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Угу, в си оно бы получило рут еще на этапе генерации кода))
     
     
  • 4.133, Аноним (26), 10:45, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Уязвимости в коде, генерируемом тем же, bison не шутка, но поэтому и нет доверия. Ничему. Когда ты ожидаешь, что кто-то уже позаботился об определённых вещах за тебя (ведь в рекламе не будут врать), ты расслабляешь булки. Это нормальное и ожидаемое поведение для приматов, как по мне, грязно только эксплуатировать природные особенности.
     
  • 2.7, Аноним (7), 18:18, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Переполнение то в машинном коде, генерируемом кодом на Rust.
     
     
  • 3.31, Аноним (39), 19:22, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А растаманы обещали, что все проверки границ будут в компилтайме...
     
     
  • 4.60, Аноньимъ (ok), 20:30, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Так они все в компайлтайме для кода на раст и выполняются.
     
     
  • 5.66, Аноним (39), 20:49, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > все в компайлтайме

    критическая уязвимость с тобой не согласна.

     
     
  • 6.72, Аноньимъ (ok), 21:15, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> все в компайлтайме
    > критическая уязвимость с тобой не согласна.

    Переполнение буфера не в раст коде происходит.

     
     
  • 7.99, Аноним (99), 00:27, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >>уязвимость вызвана логической ошибкой при определении правил линейной адресации памяти в генераторе кода Cranelift

    Cranelift (formerly known as Cretonne) is an optimizing compiler backend that converts a target-independent intermediate representation into executable machine code. It is written in Rust...

    ;)

     
     
  • 8.100, Аноньимъ (ok), 00:59, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И ... текст свёрнут, показать
     
     
  • 9.101, Аноним (99), 01:14, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Буфер переполняет код, сгенерированный кодом, написанном на расте Сгенерированны... текст свёрнут, показать
     
     
  • 10.108, Аноньимъ (ok), 01:53, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да, логическая ошибка в коде допущенная программистом Раст не защищает от логич... текст свёрнут, показать
     
     
  • 11.123, Sw00p aka Jerom (?), 06:38, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Раст написанный на расте защитит ... текст свёрнут, показать
     
  • 11.140, uis (??), 12:20, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Если отстутствие проверки жоступа к памяти - логическая ошибка, то в расте по за... текст свёрнут, показать
     
     
  • 12.153, Анонимусс (?), 14:35, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как ты вообще живешь с таким мозгом где произошло В раст коде Нет, не в раст ... текст свёрнут, показать
     
  • 12.196, Аноним (196), 03:22, 12/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    с дуба рухнул От логических, как эта, ничего не спасает Только в твоих влажных... текст свёрнут, показать
     
  • 10.111, Олексий (?), 02:09, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну раст это хотя бы лучшее что у нас есть, на с с проблемы бы вылезли ещё на э... текст свёрнут, показать
     
  • 7.107, Аноним (107), 01:51, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Чел, зачем ты пишешь, если ты не профик? Приходи в треды по своей профессии и там общайся.

    Смысл то какой белый шум генерить.

     
  • 7.234, Аноним (234), 08:01, 13/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Конечно, код на расте - это же буквы и цифры. Какое там может быть переполнение.
     
  • 6.110, Олексий (?), 02:06, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А ничо что бага в асме и раст тут вообще не причём? Или "не читал, но осуждаю"? Понабежало школьников опять.
     
     
  • 7.141, Аноним (141), 13:19, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Они думают, что чем больше бреда напишут - тем больше их будут слушать. Необучаемые)
     
  • 3.64, ИмяХ (?), 20:45, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Хорошую отмазку придумали.
     

     ....большая нить свёрнута, показать (22)

  • 1.10, AKTEON (?), 18:23, 10/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Выбери что-то одно : производительность, безопасность , работу с не доверенными источниками
     
     
  • 2.33, Аноним (39), 19:23, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Выбери что-то одно

    Примечательно, что раста в этом списке нету.

     
  • 2.48, anon_III (?), 19:58, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    но и С тоже
     
  • 2.143, Аноним (141), 13:21, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Производительность может быть безопасной. В ваше ЦПШ об этом не рассказывали? Ну так ты в вуз поступи.
     
     
  • 3.158, AKTEON (?), 14:50, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Кричали выпускники провинциальных вузов, пока не приехал spectre
     
  • 3.210, Аноним (-), 12:51, 12/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Производительность может быть безопасной.

    ...так появился САБЖ :)

     
  • 2.228, Енот Берт (?), 23:44, 12/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Wasmtime is a fast and secure runtime for WebAssembly.
    Это лол...
     

  • 1.11, annonn (?), 18:29, 10/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    логическая ошибка, печально, но хорошо что заметили
    возможно в будущем научатся и их отлавливать
     
     
  • 2.15, Аноним (15), 18:44, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не научатся. Кодогенератор очень сложный, в нем легко сделать ошибку
     
     
  • 3.17, anonimusIII (?), 18:58, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ну в 60х годах прошлого века про интернет только задумывались
    видеозвонки были в научной фантастике наравне с телепортом и фазером
    VR, машинное обучение, распознавание образов - думаю тоже только в фильмах и книгах

    кто знает что будет через лет 20-30

    и это без учета того, что уже сейчас некоторые инструменты могут находить некоторые логические ошибки - например копипаста в условиях if

     
     
  • 4.21, Аноним (26), 19:07, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Люди пытаются воплотит то, что уже было придумано. Если сейчас этого никто не видит, то это не случится через 20-30 лет. Кроме того, там ресурсы подходят к концу. Эффективные портативные источники энергии так и не изобрели -- натриевые аккумуляторы менее опасны, но и менее эффективны. Нанометры тоже невозможно уменьшать бесконечно, и уже сегодня они не настоящие.
     
     
  • 5.37, anon_III (?), 19:35, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    давай стразу определимся - то что не противоречит текущей физике, возможно к воп... большой текст свёрнут, показать
     
     
  • 6.41, Аноним (39), 19:39, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > одноступенчатые корабли на орбиту

    Послать тебя почитать хотя бы Циолковского, что ли...

     
     
  • 7.45, anon_III (?), 19:54, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    DC-X, Skylon, Корона - да попытки оказались неудачные
    но если каждый раз при неудаче отказывались от идеи, то сегодня сидели бы в пещерах
     
     
  • 8.53, Аноним (39), 20:16, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    до сих пор изобретаешь перпетум мобиле ... текст свёрнут, показать
     
  • 6.42, Аноним (39), 19:42, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Если в ближайшие 30 лет не запустят управляемый термояд

    Дак Европе сейчас не до него... Так что про ИТЭР можно забыть, распилили там уже все средства и камеру тоже (гуглите про дыры в сварочных швах, даже это сделать не смогли).

     
     
  • 7.51, anon_III (?), 20:10, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    до него или нет - посмотрим
    + не итером единым (есть тот же JET)
    кроме токамаков есть варианты со стеллаторами, эксперименты с пробкотронами (TAE, Hellion Energy, российский ГДМЛ), лазерные технологии (NIF)
    есть еще интересные идеи у Zap Energy

    и это без китайцев которые не сильно открыты в публикациях

     
     
  • 8.54, Аноним (39), 20:18, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    расширения угольных разрезов в ЕС ... текст свёрнут, показать
     
  • 6.119, uis (??), 03:11, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Им до сих пор применение не нашли Кроме взлома шифров, да и то теперь пост-кван... большой текст свёрнут, показать
     
  • 5.142, anonymous (??), 13:20, 11/03/2023 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
     
  • 6.151, Аноним (26), 14:01, 11/03/2023 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 4.120, Аноним (120), 04:29, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > видеозвонки были в научной фантастике

    В 60-х годах-то? К этому времени они уже давно вышли из области фантастики, просто, как бы так выразиться, были не особо доступны массово.

     
  • 3.121, Аноним (121), 05:44, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Уже научились, формальное доказательство корректности кода, и языки с зависимыми типами, позволяющие записать доказательство средствами самого языка - Idris, например.

    Но это очень трудоемко. Для кода управления ядерным реактором или системами жизнеобеспечения затраты приемлемы, для этих ваших вебов - нафиг не надо.

     
     
  • 4.144, Аноним (141), 13:22, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Профаны не понимают этого, бро.
     

     ....большая нить свёрнута, показать (16)

  • 1.19, Рустик (?), 19:06, 10/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Какая-то лоускильная байда. Сишный код в чужую память не залезает и проверка делается бесплатно на уровне mmu, а эти получается, в рантайме чекают каждое обращение к памяти? Должно тормозить.
     
     
  • 2.50, ChatGPT (?), 20:02, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +6 +/
    И будет тормозить, это же для веба
     
     
  • 3.156, trdm (ok), 14:45, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    а-ха-ха...
    традиция такая....
     
  • 2.87, Вы забыли заполнить поле Name (?), 21:43, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    "Программа на С выходит за границы массива" - ааа! уязвимость! дырявая сишка!

    "Программа на rust выходит за границы массива" - это не уязвимость, а логическая ошибка, понимать надо!

     
     
  • 3.88, Аноним (88), 21:50, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > "Программа на rust выходит за границы массива" - это не уязвимость, а логическая ошибка, понимать надо!

    Где ты там видишь программу на расте, выходящую за границы массива, о Воен Супротив Раста?


     
     
  • 4.118, uis (??), 02:55, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://github.com/bytecodealliance/wasmtime
     
     
  • 5.188, Аноним (88), 21:57, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > https://github.com/bytecodealliance/wasmtime

    Настоящие Воены не читают дальше заголовка?

     
  • 4.190, Вы забыли заполнить поле Name (?), 22:30, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> "Программа на rust выходит за границы массива" - это не уязвимость, а логическая ошибка, понимать надо!
    > Где ты там видишь программу на расте, выходящую за границы массива, о
    > Воен Супротив Раста?

    Уже не в состоянии в код посмотреть? Растоман во всей красе.

     
     
  • 5.194, Аноним (88), 00:18, 12/03/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >>> [CODE];   movl    %esi, %ecx

    ;   movq    -1(%rdi,%rcx,8), %rax
    ;   movq    %rsi, %rdx
    ;   shll    $3, %edx, %edx
    ;   movq    -1(%rdi,%rdx,1), %rax[/CODE]
    >>> "Программа на rust выходит за границы массива" - это не уязвимость, а логическая ошибка, понимать надо!
    >> Где ты там видишь программу на расте, выходящую за границы массива, о
    >> Воен Супротив Раста?
    > Уже не в состоянии в код посмотреть? Растоман во всей красе.

    Газификаторы луж^W^W Воены Супротив Раста во всей красе.

     
     
  • 6.236, Аноним (236), 11:01, 13/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ты сам то посмотри, что копируешь Два чтения из памяти в аккумулятор Подряд Т... большой текст свёрнут, показать
     
     
  • 7.239, Аноним (239), 15:57, 18/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты сам то посмотри, что копируешь. Два чтения из памяти в аккумулятор.
    > Подряд. Ты пялился в код и  тебя не смутило, что первое чтение не имеет смысла?
    > На само деле вот:
    > - ;   movl    %esi, %ecx
    > - ;   movq    -1(%rdi,%rcx,8), %rax
    > + ;   movq    %rsi, %rdx
    > + ;   shll    $3, %edx, %edx
    > + ;   movq    -1(%rdi,%rdx,1), %rax

    Ну ты вон пялился в код и писал разоблачительный коммент, при этом тебя не смутило, что цитированный код идентичен твоему - за исключением плюсиков и минусиков (которые в новой-модной верстке не в каждом браузере копируются)?

     
  • 3.97, Аноним (98), 00:13, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    "Программа на С выходит за границы массива" - ааа! уязвимость! дырявая сишка!
    Именно так

    "Программа, сгенеренная программой на rust, выходит за границы массива" - сама программа на расте никуда не вышла.
    Жаль что ты такой особенный, что не понимаешь разницы. Даже удивительно, что ты в состоянии писать на си.

     
  • 3.112, Олексий (?), 02:13, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    'subprocess.run(sys.argv[1])'

    А! Питон позволяет запустить любую команду без проверок! Питон насквозь дырявый! А!
    А, нет, стоп, это же то, что я хотел. Язык никогда не ограничивает разработчика в той логике, которую он может реализовать, только в инструментах для этого.

    Вы хоть одну строку кода в своей жизни написали? :D

     
     
  • 4.129, Аноним (39), 08:13, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > subprocess.run(sys.argv[1])

    проблемка в том, что "sys.argv[1]" - творение растаманов.

     
     
  • 5.146, Аноним (146), 13:38, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В растений вроде os.argv ?
     
     
  • 6.147, Аноним (146), 13:42, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Прошу прощение, не уследил за автоподстановкой. Не растение, а расте.
     
  • 5.162, Аноним (162), 16:05, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это python
     
  • 4.150, Аноним (146), 13:58, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Многие языки позволяют запустить процесс по строке имени, если есть собственная реализация exec или доступ к системным вызовам.
     
  • 4.205, Аноним (205), 10:55, 12/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А! Питон позволяет запустить любую команду без проверок! Питон насквозь дырявый! А!

    А за эттим в соседнюю новость, где питоняши не слышали что входные данные еще и проверять надо.

     

  • 1.49, ChatGPT (?), 20:01, 10/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    >(rule 3 (amode_add (Amode.ImmReg off (valid_reg base) flags)
    >                   (uextend (ishl index @ (iadd _ _) (iconst (uimm8 >shift)))))
    >      (if (u32_lteq (u8_as_u32 shift) 3))
    >     (Amode.ImmRegRegShift off base index shift flags))

    запутались в _@_ ^-^

     
     
  • 2.52, Аноним (39), 20:15, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > запутались в _@_

    безопасно запутались... всего-то на 28 гигабайт переполнили...

     

  • 1.62, НяшМяш (ok), 20:38, 10/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Опять местные кексперты показали уровень кекспертности. В пулике ни строки на расте не пофиксили, а код на ISLE - чёто типа ассемблера. Хотя чего это я, ни один кексперт и строки кода в своей жизни не написал, он асм от хтмля не отличит.
     
     
  • 2.109, Аноним (107), 01:55, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Логическая ошибка. АСМ от хтмл отличить очень просто - первый не является ЯВУ, а второй является языком разметки. Логичней было бы сказать "С от Bliss не отличит". Впрочем я сильно сомневаюсь, что ты знаешь что такое bliss..
     
  • 2.131, Аноним (131), 10:44, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Так ты сам за всю жизнь ни одной строки кода не написал, чего выпендриваешься?
     
     
  • 3.134, НяшМяш (ok), 11:29, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Значит знаю о чём говорю xD
     

  • 1.89, VoiD (?), 21:56, 10/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Каким же раздутым и абсурдным стал современный web.
     
     
  • 2.93, Аноним (39), 22:36, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    особенно когда "Инструментарий написан на языке Rust".
     
  • 2.117, uis (??), 02:51, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Rust.js
     

  • 1.96, раст переусложнён (?), 00:12, 11/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    надо усложнить язык Rust так, чтобы в нём было невозможно допустить логические ошибки.
     
     
  • 2.124, Sw00p aka Jerom (?), 06:44, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Зачем так сложно, отключите логику и делов то :)
     
     
  • 3.200, Tron is Whistling (?), 09:25, 12/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Поздно :D
     

  • 1.103, Аноним (103), 01:41, 11/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    "а уязвимость вызвана логической ошибкой при определении правил линейной адресации памяти в генераторе кода Cranelift, транслирующем независимое от аппаратных архитектур промежуточное представление в исполняемый машинный код для архитектуры x86_64."

    Больше оберток и разных. Больше абстраций кем-то придуманных и не всеми понимаемых. Долой простоту Си.

     
     
  • 2.116, uis (??), 02:50, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не, это как раз нормально, именно так компиляторы и делают
     

  • 1.104, Аноним (103), 01:44, 11/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А где гарантия что это последняя логическая ошибка? Язык уже сложен? Сложность превалирует над безопасностью?
     
  • 1.125, нуда (?), 07:18, 11/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Чьто такое runtime? Время выполнения?
     
     
  • 2.173, Аноним (173), 17:44, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Точнее этап выполнения, чтобы не путать с тем сколько времени выполняется программа. )
     
     
     
    Часть нити удалена модератором

  • 4.180, Аноним (98), 18:29, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если был бы код на си - была бы такая же дырень. Как в TPM, хардблид, или ядре... тысячи их
     
     
  • 5.186, Аноним (131), 20:17, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если бы это было написано на расте там было бы столько же дыреней, но стоил бы этот код в 10 раз дороже.  
     

  • 1.154, Аноним (154), 14:41, 11/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    В привиденном линке код не на расте написан, а на ассемблере. И фикс на нем.
    https://github.com/bytecodealliance/wasmtime/commit/63fb30e4b4415455d47b3da5a1
    Ахаха, растохейтеры не читают новость, а сразу комментировать.
     
     
  • 2.181, Аноним (181), 19:36, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А ещё ОС не на расте, процессор не на расте, и, говорят, сами программисты тоже не на расте, а с помощью дырявой ДНК написаны. Вот когда вселенную перепишут на расте - вот тогда не будет уязвимостей, а до тех пор никакие претензии не принимаются.
     
     
  • 3.202, Аноним (131), 09:53, 12/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Всё равно будут уязвимости, так то можно даже не напрягаться.  
     
  • 2.214, Аноним (214), 15:29, 12/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот что бывает, когда свой ЯП узковат для замысла программиста. Они лезут туда чем пользоваться не умеют.
     
  • 2.223, Аноним (223), 18:46, 12/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > В привиденном линке код не на расте написан, а на ассемблере. И фикс на нем.

    "на расте написан ЧПУ, это он намотал токаря на вал а не раст!"

     

  • 1.161, kusb (?), 15:59, 11/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Я попросил OpenAI, что нужно делать, чтобы выполнить мечту многих на Опеннете -... большой текст свёрнут, показать
     
     
  • 2.174, Аноним (173), 17:50, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Чек-лист, когда комьюнити недовольно растом. )
     
  • 2.179, Аноним (179), 18:28, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > по альтернативным языкам программирования

    Zig выглядит очень хорошо.

     
  • 2.184, Аноним (184), 20:10, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Участвовать в разработке стандартов, которые будут регулировать использование Rust и других языков программирования в крупных проектах

    Для начала, неплохо бы, сам язык стандартизировать.

     
     
  • 3.185, Аноним (131), 20:16, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как это сделать если у них цель сложность ради сложности. Как только ты что-то стандартизировал ты сразу снизил сложности и прекратил дальнейшее усложнение в рамках версии. Это недопустимо.  Сложность должна быть сложной.    
     
     
  • 4.195, Аноним (195), 00:54, 12/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > сложность ради сложности

    Три слова и ты описал всё современное IT.

     
  • 2.208, Аноним (-), 12:26, 12/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Я попросил OpenAI, что нужно делать,

    ChatGPT залогинься! И базу русского подгоните ему нормальную, ну что за позор то, alicebot лучше чатился.

     
     
  • 3.209, kusb (?), 12:36, 12/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А что не так с его словами?
     
  • 2.220, Аноним (220), 17:56, 12/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    То самое чувство, когда ИИ написал в сто раз более полезный комментарий, чем любой из критиков этого языка.
     

  • 1.204, Аноним (205), 10:53, 12/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > запись данных в область памяти вне границы,
    > допустимой для изолированного WebAssembly-кода,
    > Инструментарий написан на языке Rust

    Но как же так, Холмс?! :)

     
     
  • 2.207, Аноним (88), 11:42, 12/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    CODE - movl esi, ecx - movq -1 rdi, rcx,8 , rax mo... большой текст свёрнут, показать
     
  • 2.238, Аноним (-), 14:45, 14/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Внезапно оказывается, что полагаться на безопасные язычки не стоит и надо учиться кодить безопасно самому, да ещё и с ресурсами работать. Никогда такого не было и вот опять.

    ...А потом ещё окажется, что безопасные язычки отучают думать о ресурсах и безопасности - вот вою-то на болотах прибавится!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру