View Single Post
Old 22-01-2019, 16:31   #90
Senior Member
Iscritto dal: Jan 2011
Messaggi: 9230
Originariamente inviato da RandoM X Guarda i messaggi
quello che dici è giusto!

cioè il fatto che abbia anticipato sarebbe un errore?
uff povera bq, dirà che non siamo mai contenti!!!
comunque, uao leggi in tempo reale!!!
Quando me l'hai detto sono andato a cercare screenshot per ulteriori informazioni

Comunque BQ ha pubblicato già anche i sorgenti:
Diciamo che non si è comportata in modo corretto: quando vi sono parti comuni, specie opensource (come in questo caso il kernel Linux), si attende che anche agli altri correggano (o siano messi in condizioni di farlo), altrimenti si divulgano vulnerabilità senza che siano corrette, che è una cosa abbastanza grave. BQ avrebbe dovuto attendere Google e distribuire le patch insieme ai Pixel e ad Essential

Per i prezzi ormai sono alle stelle

Esempio di quello che dicevo sopra, relativo alle vulnerabilità WPA2 che forse ricorderai:
We notified OpenBSD of the vulnerability on 15 July 2017, before CERT/CC was involved in the coordination. Quite quickly, Theo de Raadt replied and critiqued the tentative disclosure deadline: “In the open source world, if a person writes a diff and has to sit on it for a month, that is very discouraging”. Note that I wrote and included a suggested diff for OpenBSD already, and that at the time the tentative disclosure deadline was around the end of August. As a compromise, I allowed them to silently patch the vulnerability. In hindsight this was a bad decision, since others might rediscover the vulnerability by inspecting their silent patch. To avoid this problem in the future, OpenBSD will now receive vulnerability notifications closer to the end of an embargo.

Ultima modifica di superlex : 22-01-2019 alle 16:49.
superlex è offline   Rispondi citando il messaggio o parte di esso