S3 Ep112: Vi phạm dữ liệu có thể ám ảnh bạn nhiều lần! [Âm thanh + Văn bản]

Nhấp và kéo vào các sóng âm thanh bên dưới để chuyển đến bất kỳ điểm nào. Bạn cũng có thể nghe trực tiếp trên Soundcloud.

CHÓ.  Hoán đổi SIM, zero-days, Ping [giọng nói kịch tính] của DEATH và LastPass… một lần nữa.

Tất cả những điều đó và hơn thế nữa, trên podcast Naked Security.

[CHẾ ĐỘ ÂM NHẠC]

Chào mừng mọi người đến với podcast.

Tôi là Doug Aamoth.

Với tôi, như mọi khi, là Paul Ducklin.

Paul, bạn làm thế nào?

---

VỊT.  Tốt lắm, Doug.

Bạn đã đưa một số âm thanh kịch tính vào phần giới thiệu đó, tôi rất vui khi thấy điều đó!

---

CHÓ.  Chà, làm thế nào để bạn nói “Ping of Death” mà không nói [doom metal gừ gừ] “Ping of DEATH”?

Bạn không thể chỉ nói [giọng nhẹ nhàng] “Ping of Death”.

Bạn phải đấm nó một chút…

---

VỊT.  Tôi cho là vậy.

Nó khác trong văn bản – bạn có gì?

In đậm và in nghiêng.

Tôi chỉ sử dụng văn bản bình thường, nhưng tôi đã sử dụng chữ in hoa, điều này sẽ hữu ích.

---

CHÓ.  Vâng, tôi nghĩ rằng tôi sẽ in đậm và in nghiêng từ “cái chết”, vì vậy [doom metal again] “The Ping of DEATH”.

---

VỊT.  Và sử dụng nhiều màu sắc!

Tôi sẽ làm điều đó vào lần tới, Doug.

---

CHÓ.  Phá bỏ cái cũ trong HTML, làm cho nó nhấp nháy một chút? [CƯỜI]

---

VỊT.  Doug, trong một khoảnh khắc, tôi đã lo lắng rằng bạn sẽ sử dụng từ [CƯỜI] .

---

CHÓ.  [CƯỜI] Ở đây chúng tôi thích đồ cũ!

Và điều đó phù hợp với chúng tôi Tuần này trong Lịch sử Công nghệ phân khúc – Tôi rất hào hứng với điều này bởi vì tôi đã không nghe nói về nó, nhưng tình cờ thấy nó.

Tuần này, ngày 04 tháng 2001 năm XNUMX, sâu Goner đã tấn công internet với tốc độ chỉ đứng sau tốc độ của virus Love Bug.

Goner lây lan qua Microsoft Outlook và hứa hẹn với những nạn nhân cả tin về một trình bảo vệ màn hình thú vị khi được thực thi.

---

VỊT.  Người đi…

Tôi nghĩ rằng nó có cái tên đó bởi vì có một cửa sổ bật lên ở cuối, phải không, đề cập đến Lầu năm góc?

Nhưng nó có nghĩa là một sự chơi chữ – đó là “Penta/Gone”.

Đó chắc chắn là con sâu nhắc nhở mọi người rằng trên thực tế, trình bảo vệ màn hình Windows chỉ là các chương trình thực thi.

Vì vậy, nếu bạn đang tìm kiếm đặc biệt cho .EXE tập tin, vâng, chúng có thể được gói gọn trong .SCR (trình bảo vệ màn hình) cũng vậy.

Nếu chỉ dựa vào tên tập tin, bạn có thể dễ dàng bị lừa.

Và nhiều người, thật đáng buồn.

---

CHÓ.  Được rồi, chúng ta sẽ đi từ trường cũ sang trường mới.

Chúng ta đang nói về LastPass: đã có một lỗ hổng; vi phạm tự nó không phải là khủng khiếp; nhưng vi phạm đó bây giờ đã dẫn đến một vi phạm khác.

Hoặc có thể đây chỉ là sự tiếp nối của vi phạm ban đầu?

LastPass thừa nhận vi phạm dữ liệu của khách hàng do vi phạm trước đó

---

VỊT.  Vâng, LastPass đã viết về nó về cơ bản là phần tiếp theo của vụ vi phạm trước đó, mà tôi nghĩ là vào tháng 2022 năm XNUMX, phải không?

Và như chúng tôi đã nói vào thời điểm đó, đó là một cái nhìn rất đáng xấu hổ đối với LastPass.

Nhưng khi vi phạm xảy ra, điều đó có thể tồi tệ hơn đối với PR, tiếp thị và (tôi đoán) đối với bộ phận sở hữu trí tuệ của họ, bởi vì có vẻ như thứ chính mà kẻ lừa đảo lấy được là mã nguồn từ hệ thống phát triển của họ.

Và LastPass đã nhanh chóng trấn an mọi người…

Đầu tiên, các cuộc điều tra của họ cho thấy rằng, khi họ ở trong đó, những kẻ lừa đảo không thể thực hiện bất kỳ thay đổi trái phép nào mà sau này có thể thấm vào mã thực.

Thứ hai, quyền truy cập vào hệ thống phát triển không cung cấp cho bạn quyền truy cập vào hệ thống sản xuất, nơi mã thực tế được tạo.

Và thứ ba, họ có thể nói rằng dường như không có kho mật khẩu được mã hóa nào bị đánh cắp, vì vậy kho lưu trữ đám mây chứa mật khẩu được mã hóa của bạn không bị truy cập.

Và ngay cả khi nó đã được truy cập, thì chỉ bạn mới biết mật khẩu, bởi vì quá trình giải mã (cái mà bạn gọi là “công việc nặng nhọc” khi chúng tôi nói về nó trên podcast) thực sự được thực hiện trong bộ nhớ trên thiết bị của bạn – LastPass không bao giờ nhìn thấy mật khẩu của bạn mật khẩu mở khóa.

Và sau đó, thứ tư, họ nói, theo như những gì chúng tôi có thể nói, do vi phạm đó, một số thứ trong môi trường phát triển hiện đã cung cấp cùng một thứ… hoặc có thể là một lượng hoàn toàn khác những kẻ lừa đảo đã mua dữ liệu bị đánh cắp ra khỏi lô trước đó, ai biết?

Điều đó đã cho phép họ truy cập vào một số dịch vụ đám mây nơi một số dữ liệu khách hàng rõ ràng chưa được biết đến đã bị đánh cắp.

Tôi không nghĩ rằng họ đã biết rõ, bởi vì có thể mất một lúc để tìm ra những gì thực sự đã được truy cập sau khi vi phạm xảy ra.

Vì vậy, tôi nghĩ công bằng mà nói đây là mặt B của vi phạm ban đầu.

---

CHÓ.  Được rồi, chúng tôi khuyên rằng nếu bạn là khách hàng của LastPass, hãy theo dõi báo cáo sự cố bảo mật của công ty.

Chúng tôi sẽ theo dõi câu chuyện này vì nó vẫn đang phát triển.

Và nếu bạn, giống như Paul và tôi, chiến đấu với tội phạm mạng để kiếm sống, thì có một số bài học tuyệt vời có thể rút ra từ vụ vi phạm của Uber.

Vì vậy, đó là một tập podcast – một “minisode” – với Chester Wisniewski mà Paul đã nhúng vào cuối bài viết LastPass:

S3 Ep100.5: Vi phạm Uber - một chuyên gia nói [Âm thanh + Văn bản]

Rất nhiều điều để học hỏi trên mặt trận đó!

---

VỊT.  Như bạn nói, đó là một sự lắng nghe tuyệt vời, bởi vì, tôi tin rằng, điều được biết đến ở Mỹ là “lời khuyên có thể hành động” hoặc “tin tức bạn có thể sử dụng”.

---

CHÓ.  [CƯỜI] Tuyệt vời.

Nói về những tin-tức-mà-bạn-không-thực-sự-dùng, Apple thường rất kín tiếng về các bản cập nhật bảo mật của mình… và đã có một bản cập nhật bảo mật:

Apple tung ra bản cập nhật bảo mật iOS kín tiếng hơn bao giờ hết

---

VỊT.  Ồ, Doug, đó là một trong những điều tốt nhất của bạn... Tôi thích sự khác biệt đó.

---

CHÓ.  [CƯỜI] Cảm ơn bạn; Cảm ơn rất nhiều.

---

VỊT.  Vâng, điều này làm tôi ngạc nhiên.

Tôi nghĩ, “Chà, tôi sẽ lấy bản cập nhật vì nó có vẻ nghiêm trọng.”

Và tôi tự đưa ra lý do, “Hãy để tôi làm điều đó cho độc giả của Naked Security.”

Bởi vì nếu tôi làm điều đó và không có tác dụng phụ nào, thì ít nhất tôi có thể nói với người khác rằng: “Hãy nhìn xem, tôi chỉ làm một cách mù quáng và không gây hại gì cho tôi. Vì vậy, có lẽ bạn cũng có thể làm được.”

Tôi đột nhiên nhận thấy rằng đã có bản cập nhật iOS 16.1.2, mặc dù tôi không nhận được email tư vấn bảo mật nào từ Apple.

Không có email?!

Điều đó thật kỳ lạ .. vì vậy tôi đã đi đến HT201222 trang cổng thông tin mà Apple có cho các bản tin bảo mật của mình và đó là: iOS 16.1.2.

Và nó nói gì, Doug, "Chi tiết sẽ sớm được cập nhật"?

---

CHÓ.  Và họ đã làm theo sớm?

---

VỊT.  Chà, đó là hơn một tuần trước, và họ vẫn chưa ở đó.

Vì vậy, chúng ta đang nói "sớm" có nghĩa là giờ, ngày, tuần hoặc tháng?

Tại thời điểm này, nó trông giống như tuần.

Và, như mọi khi với Apple, không có dấu hiệu nào liên quan đến bất kỳ hệ điều hành nào khác.

Họ đã bị lãng quên?

Họ không cần cập nhật?

Có phải họ cũng cần bản cập nhật, nhưng nó chưa sẵn sàng?

Họ đã bị loại khỏi hỗ trợ?

Nhưng có vẻ như, như tôi đã nói trong tiêu đề, thậm chí còn kín tiếng hơn bình thường đối với Apple và không nhất thiết phải là điều hữu ích nhất trên thế giới.

---

CHÓ.  OK, rất tốt… vẫn còn một số câu hỏi, dẫn chúng ta đến câu chuyện tiếp theo.

Một câu hỏi rất thú vị!

Đôi khi, khi bạn đăng ký một dịch vụ và dịch vụ đó thực thi xác thực hai yếu tố, thông báo cho biết: “Bạn muốn nhận thông báo qua tin nhắn văn bản hay bạn muốn sử dụng ứng dụng xác thực?”

Và câu chuyện này là một câu chuyện cảnh báo không sử dụng điện thoại của bạn – hãy sử dụng một ứng dụng xác thực, ngay cả khi nó hơi cồng kềnh hơn một chút.

Đây là một câu chuyện rất thú vị:

Người trao đổi SIM bị tống vào tù vì ăn cắp tiền điện tử 2FA hơn 20 triệu đô la

---

VỊT.  Đó là, Doug!

Nếu bạn đã từng bị mất điện thoại di động hoặc tự khóa thẻ SIM của mình bằng cách nhập sai mã PIN quá nhiều lần, bạn sẽ biết rằng bạn có thể vào cửa hàng điện thoại di động…

…và thường thì họ sẽ hỏi ID hoặc thứ gì đó, và bạn nói, “Này, tôi cần một thẻ SIM mới.”

Và họ sẽ tạo một cái cho bạn.

Khi bạn đặt nó vào điện thoại của mình, hãy chơi lô tô!… nó có số cũ của bạn trên đó.

Vì vậy, điều đó có nghĩa là nếu kẻ gian có thể thực hiện cùng một thao tác mà bạn sẽ làm để thuyết phục công ty điện thoại di động rằng họ đã “làm mất” hoặc “làm hỏng” thẻ SIM của họ (tức là *thẻ SIM của bạn*) và họ có thể lấy được thẻ đó được trao cho, hoặc được gửi đến, hoặc được đưa cho họ bằng cách nào đó…

…sau đó, khi họ cắm nó vào điện thoại, họ bắt đầu nhận được mã xác thực hai yếu tố SMS của bạn, *và* điện thoại của bạn ngừng hoạt động.

Đó là tin xấu.

Tin tốt trong bài báo này là đây là trường hợp của một người bị bắt vì nó.

Anh ta đã bị tống vào tù ở Mỹ trong 18 tháng.

Anh ta, cùng với một nhóm đồng phạm – hay, theo cách nói của Bộ Tư pháp, Người tham gia chương trình… [CƯỜI]

…họ đã kiếm được tiền điện tử của một nạn nhân cụ thể, có vẻ như trị giá 20 triệu đô la, nếu bạn không phiền.

---

CHÓ.  Ôi!

---

VỊT.  Vì vậy, anh ta đồng ý nhận tội, nhận án tù và ngay lập tức bị tịch thu… số tiền [đọc kỹ] $983,010.72… chỉ để bị tịch thu số tiền đó ngay lập tức.

Vì vậy, có lẽ, anh ta đã nói dối.

Và rõ ràng anh ta cũng có một số loại nghĩa vụ pháp lý phải hoàn trả hơn 20 triệu đô la.

---

CHÓ.  Chúc may mắn với điều đó, tất cả mọi người! Chúc may mắn.

[Giọng hát in nghiêng] khác của anh ấy Người tham gia chương trình có thể gây ra một số vấn đề ở đó! [CƯỜI]

---

VỊT.  Vâng, tôi không biết chuyện gì sẽ xảy ra nếu họ cũng từ chối hợp tác.

Giống như, nếu họ treo anh ta ra ngoài cho khô, chuyện gì sẽ xảy ra?

Tuy nhiên, chúng tôi có một số mẹo và một số lời khuyên về cách tăng cường bảo mật (theo nhiều cách hơn là chỉ 2FA mà bạn sử dụng) trong bài viết.

Vì vậy, hãy đi và đọc nó… từng chút một đều có ích.

---

CHÓ.  Được rồi, nói về “chút nhỏ”…

…đây là một câu chuyện hấp dẫn khác, làm thế nào thấp ping có thể được sử dụng để kích hoạt thực thi mã từ xa:

Ping của cái chết! FreeBSD sửa lỗi crashtastic trong công cụ mạng

---

VỊT.  [Lại thích sự khác biệt] Tôi nghĩ bạn đã làm tốt hơn bản thân mình, Doug!

---

CHÓ.  [CƯỜI] Hôm nay tôi đang tung hoành…

---

VỊT.  Từ Apple đến [nỗ lực yếu ớt đối với giọng hát diệt vong] Ping of DEATH!

Vâng, đây là một lỗi hấp dẫn.

Tôi không nghĩ rằng nó thực sự sẽ gây hại cho nhiều người và nó *đã* được vá, vì vậy việc sửa chữa nó rất dễ dàng.

Nhưng có một bài viết tuyệt vời trong FreeBSD tư vấn bảo mật...

…và nó mang tính giải trí, và, nếu tôi tự nói như vậy, là một câu chuyện rất bổ ích cho thế hệ lập trình viên hiện tại, những người có thể đã dựa vào,”Thư viện bên thứ ba sẽ làm điều đó cho tôi. Xử lý các gói mạng cấp thấp? Tôi không bao giờ phải nghĩ về nó…”

Có một số bài học tuyệt vời được học ở đây.

Sản phẩm ping tiện ích, một công cụ mạng mà hầu hết mọi người đều biết về nó, lấy tên từ SONAR.

Bạn đi [tạo tiếng ồn cho tàu ngầm trong phim] ping, sau đó tiếng vọng trở lại từ máy chủ ở đầu bên kia.

Và đây là một tính năng được tích hợp trong Giao thức Internet, IP, sử dụng một thứ gọi là ICMP, là Giao thức Thông báo Điều khiển Internet.

Đó là một giao thức đặc biệt, cấp thấp, thấp hơn nhiều so với UDP hoặc TCP mà mọi người có thể đã quen sử dụng, được thiết kế khá chính xác cho loại điều này: “Bạn có thực sự còn sống ở đầu bên kia không, trước khi tôi lo lắng về lý do tại sao máy chủ web của bạn không hoạt động?”

Có một loại gói tin đặc biệt mà bạn có thể gửi đi được gọi là “ICMP Echo”.

Vì vậy, bạn gửi gói tin nhỏ bé này với một tin nhắn ngắn trong đó (tin nhắn có thể là bất kỳ thứ gì bạn thích) và nó chỉ gửi lại chính tin nhắn đó cho bạn.

Đó chỉ là một cách nói cơ bản, “Nếu thông báo đó không trở lại, thì có thể là do mạng hoặc toàn bộ máy chủ bị hỏng”, chứ không phải là có một số vấn đề về phần mềm trên máy tính.

Tương tự với SONAR, chương trình gửi các yêu cầu tiếng vang này được gọi là… [tạm dừng] Tôi sẽ tạo hiệu ứng âm thanh, Doug… [lại tiếng ồn của phim tàu ​​ngầm] ping. [CON GÁI]

Và ý tưởng là, bạn nói, ping -c3 (có nghĩa là kiểm tra ba lần) nakedsecurity.sophos.com.

Bạn có thể làm điều đó ngay bây giờ và bạn sẽ nhận được ba câu trả lời, mỗi câu trả lời cách nhau một giây, từ các máy chủ WordPress lưu trữ trang web của chúng tôi.

Và nó nói rằng trang web vẫn còn hoạt động.

Nó không cho bạn biết rằng máy chủ web đang hoạt động; nó không nói với bạn rằng WordPress đã hoạt động; nó không nói rằng Naked Security thực sự có sẵn để đọc.

Nhưng ít nhất nó xác nhận rằng bạn có thể nhìn thấy máy chủ và máy chủ có thể liên lạc với bạn.

Và ai có thể nghĩ rằng câu trả lời ping nhỏ bé đó có thể làm hỏng FreeBSD ping chương trình theo cách mà một máy chủ giả mạo có thể gửi lại một tin nhắn “Có, tôi còn sống” bị mắc kẹt, theo lý thuyết (chỉ trên lý thuyết; tôi không nghĩ có ai đã làm điều này trong thực tế) kích hoạt thực thi mã từ xa trên máy tính của bạn.

---

CHÓ.  Vâng, điều đó thật tuyệt vời; đó là phần tuyệt vời.

Ngay cả khi đó là một bằng chứng về khái niệm, đó chỉ là một việc nhỏ!

---

VỊT.  Sản phẩm ping chính chương trình sẽ lấy lại toàn bộ gói IP và nó phải chia nó thành hai phần.

Thông thường, kernel sẽ xử lý việc này cho bạn, vì vậy bạn chỉ cần xem phần dữ liệu.

Nhưng khi bạn đang giải quyết những gì được gọi là ổ cắm thô, những gì bạn nhận được là tiêu đề Giao thức Internet, chỉ nói rằng, "Này, những byte này đến từ một máy chủ như vậy."

Và sau đó bạn nhận được một thứ gọi là “ICMP Echo Reply”, là nửa sau của gói bạn nhận được.

Bây giờ, những gói này, chúng thường chỉ có 100 byte hoặc hơn, và nếu là IPv4, 20 byte đầu tiên là tiêu đề IP và phần còn lại, bất kể nó là gì, là Phản hồi tiếng vọng.

Điều đó có một vài byte để nói, “Đây là Trả lời bằng tiếng vang,” và sau đó là thông báo ban đầu được gửi đi quay trở lại.

Và do đó, điều hiển nhiên phải làm, Doug, khi bạn nhận được nó, là bạn chia nó thành…

…tiêu đề IP, dài 20 byte và phần còn lại.

Đoán xem vấn đề nằm ở đâu?

---

CHÓ.  Hãy kể!

---

VỊT.  Vấn đề là các tiêu đề IP *hầu như luôn luôn* dài 20 byte – trên thực tế, tôi không nghĩ rằng mình đã từng thấy tiêu đề nào không như vậy.

Và bạn có thể biết chúng dài 20 byte vì byte đầu tiên sẽ ở dạng thập lục phân 0x45.

“4” có nghĩa là IPv4 và “5”… “Ồ, chúng tôi sẽ sử dụng điều đó để cho biết tiêu đề dài bao nhiêu.”

Bạn lấy số 5 đó và nhân nó với 4 (đối với giá trị 32 bit) và bạn nhận được 20 byte..

…và đó là kích thước của các tiêu đề IP có giá trị bằng sáu sigma mà bạn từng thấy trên toàn thế giới, Doug. [CƯỜI]

Nhưng chúng * có thể * lên tới 60 byte.

Nếu bạn đặt 0x4F thay vì 0x45, nghĩa là có 0xF (hoặc 15 ở dạng thập phân) × 4 = 60 byte trong tiêu đề.

Và mã FreeBSD chỉ cần lấy tiêu đề đó và sao chép nó vào bộ đệm trên ngăn xếp có kích thước 20 byte.

Một tràn bộ đệm ngăn xếp cũ, đơn giản.

Đó là trường hợp của một công cụ khắc phục sự cố mạng đáng kính với một loại lỗi đáng kính trong đó. (Không còn nữa.)

Vì vậy, khi bạn đang lập trình và bạn phải xử lý những thứ cấp thấp mà không ai thực sự nghĩ đến từ lâu, đừng chỉ đi theo sự khôn ngoan nhận được rằng, “Ồ, nó sẽ luôn là 20 byte; bạn sẽ không bao giờ thấy bất cứ điều gì lớn hơn.

Bởi vì một ngày nào đó bạn có thể.

Và khi ngày đó đến, nó có thể ở đó một cách có chủ ý bởi vì một kẻ lừa đảo đã cố tình làm như vậy.

Vì vậy, như mọi khi, ma quỷ nằm trong các chi tiết lập trình, Doug.

---

CHÓ.  OK, rất thú vị; câu chuyện hay.

Và chúng ta sẽ tập trung vào chủ đề mã với câu chuyện cuối cùng này về Chrome.

Một ngày không khác, nâng tổng số năm 2022 lên chín lần:

Số chín! Chrome sửa lỗi zero-day năm 2022 khác, Edge cũng được vá

---

VỊT.  [Giọng trang trọng, nghe như ghi âm] “Số 9. Số 9. Số 9, số 9,” Douglas.

---

CHÓ.  [CƯỜI] Đây có phải là Yoko Ono không?

---

VỊT.  Đó là Cuộc cách mạng 9 tắt "Album trắng" của The Beatles.

Người ta có thể nghe thấy tiếng Yoko ngân nga trong bài hát đó – rằng âm thanh, Tôi tin rằng họ gọi nó - nhưng rõ ràng là đoạn đầu có ai đó nói đi nói lại “Số 9, số 9”, trên thực tế, đó là một cuộn băng thử nghiệm mà họ tìm thấy nằm xung quanh.

---

CHÓ.  À, rất tuyệt.

---

VỊT.  Một kỹ sư EMI nói điều gì đó như, “Đây là băng thử nghiệm EMI số 9” [CƯỜI], và dường như tôi thậm chí không nghĩ có ai biết đó là giọng nói của ai.

Điều đó *không có gì* liên quan đến Chrome, Doug.

Nhưng vì ai đó đã bình luận trên Facebook vào ngày hôm trước, “Anh chàng Paul đó đang bắt đầu trông giống một Beatle”… [thật kỳ lạ] điều mà tôi thấy hơi kỳ quặc.

---

CHÓ.  [CƯỜI] Vâng, làm thế nào bạn có thể chấp nhận điều đó?

---

VỊT.  …Tôi hình dung mình có thể ăn tối ở “Number 9”.

Có vẻ như đó là ngày không thứ chín trong năm cho đến nay, Doug.

Và đó là bản sửa một lỗi, với lỗi được xác định là CVE 2022-4282.

Vì Microsoft Edge sử dụng lõi nguồn mở Chromium nên nó cũng dễ bị tấn công và vài ngày sau, Microsoft đã tung ra một bản cập nhật cho Edge.

Vì vậy, đây là sự cố của cả Chrome và Edge.

Mặc dù các trình duyệt đó sẽ tự cập nhật, nhưng tôi vẫn khuyên bạn nên kiểm tra – chúng tôi sẽ hướng dẫn bạn cách thực hiện điều đó trong bài viết – đề phòng.

Tôi sẽ không đọc số phiên bản ở đây vì chúng khác với Mac, Linux và Windows trên Chrome và chúng lại khác với Edge.

Giống như Apple, Google hơi kín tiếng về vấn đề này.

Tôi tin là nó được tìm thấy bởi một trong những đội săn mối đe dọa của họ.

Vì vậy, tôi cho rằng họ đã tìm thấy nó khi đang điều tra một sự cố xảy ra ngoài tự nhiên và do đó có lẽ họ muốn giấu nó đi, mặc dù Google thường nói rất nhiều về “sự cởi mở” khi nói đến việc sửa lỗi.

Bạn có thể hiểu tại sao, trong trường hợp như thế này, bạn có thể muốn dành một chút thời gian để tìm hiểu sâu hơn một chút trước khi nói cho mọi người biết chính xác cách thức hoạt động của nó.

---

CHÓ.  Tuyệt vời… và chúng tôi có một câu hỏi dành cho độc giả mà có lẽ là câu hỏi mà nhiều người đang nghĩ đến.

Cassandra hỏi, “Có phải những người tìm lỗi chỉ gặp may khi tìm thấy lỗi không? Hay họ đã tấn công một 'đường nối' đầy bọ? Hay Chromium đang phát hành mã mới có nhiều lỗi hơn bình thường? Hoặc là thứ gì đó đang diễn ra?"

---

VỊT.  Vâng, đó thực sự là một câu hỏi hay, và tôi e rằng tôi chỉ có thể trả lời nó theo một cách hơi khôi hài, Doug.

Bởi vì Cassandra đã đưa ra các lựa chọn A), B) và C), tôi nói, “Chà, có lẽ đó là D. Tất cả những điều trên."

Chúng tôi biết rằng khi một loại lỗi cụ thể xuất hiện trong mã, thì sẽ hợp lý khi cho rằng chính lập trình viên đó có thể đã tạo ra các lỗi tương tự ở những nơi khác trong phần mềm.

Hoặc các lập trình viên khác trong cùng một công ty có thể đã sử dụng những gì được coi là sự khôn ngoan đã nhận được hoặc thông lệ tiêu chuẩn vào thời điểm đó và có thể đã làm theo.

Và một ví dụ tuyệt vời là, nếu bạn nhìn lại Log4J… đã có cách khắc phục sự cố.

Và sau đó, khi họ đi tìm kiếm, "Ồ, thực ra, có những nơi khác cũng mắc lỗi tương tự."

Vì vậy, đã có một bản sửa lỗi cho bản sửa lỗi, và sau đó là một bản sửa lỗi cho bản sửa lỗi, Nếu tôi nhớ.

Tất nhiên, cũng có một vấn đề là khi bạn thêm mã mới, bạn có thể gặp các lỗi duy nhất đối với mã mới đó và xuất hiện do thêm các tính năng.

Và đó là lý do tại sao nhiều trình duyệt, bao gồm cả Chrome, có phiên bản “cũ hơn một chút” nếu bạn thích mà bạn có thể gắn bó.

Và ý tưởng là những bản phát hành “cũ hơn” đó… chúng không có tính năng mới nào, nhưng có tất cả các bản sửa lỗi bảo mật có liên quan.

Vì vậy, nếu bạn muốn thận trọng về các tính năng mới, bạn có thể.

Nhưng chúng tôi chắc chắn biết rằng, đôi khi, khi bạn đưa các tính năng mới vào một sản phẩm, các lỗi mới sẽ xuất hiện cùng với các tính năng mới.

Và bạn có thể biết điều đó, chẳng hạn như khi có một bản cập nhật, chẳng hạn như cho iPhone của bạn và bạn nhận được các bản cập nhật, chẳng hạn như cho iOS 15 và iOS 16.

Sau đó, khi bạn xem danh sách lỗi, có một số lỗi chỉ áp dụng cho iOS 16.

Và bạn nghĩ, “Xin chào, đó hẳn là những lỗi trong mã mà trước đây không có.”

Vì vậy, vâng, đó là một khả năng.

Và tôi nghĩ những thứ khác đang diễn ra có thể được coi là tốt.

Đầu tiên là tôi nghĩ rằng, đặc biệt đối với những thứ như trình duyệt, các nhà sản xuất trình duyệt đang trở nên tốt hơn nhiều trong việc đưa ra các bản dựng lại hoàn chỉnh một cách thực sự, rất nhanh chóng.

---

CHÓ.  Hấp dẫn.

---

VỊT.  Và tôi nghĩ một điều khác đã thay đổi là trước đây, bạn có thể lập luận rằng đối với nhiều nhà cung cấp… rất khó để khiến mọi người áp dụng các bản vá, ngay cả khi chúng chỉ được phát hành theo lịch trình hàng tháng và ngay cả khi họ đã có nhiều bản sửa lỗi zero-day trong đó.

Tôi nghĩ, có lẽ đó cũng là một phản ứng đối với thực tế là ngày càng nhiều người trong chúng ta ngày càng có nhiều khả năng không chỉ chấp nhận mà còn thực sự * mong đợi * cập nhật tự động thực sự nhanh chóng.

Vì vậy, tôi nghĩ rằng bạn có thể đọc một số nội dung tốt về điều này.

Thực tế không chỉ là Google có thể đưa ra một bản sửa lỗi zero-day gần như ngay lập tức, mà còn là mọi người sẵn sàng chấp nhận điều đó và thậm chí yêu cầu nó.

Vì vậy, tôi muốn thấy vấn đề về "Chà, chín ngày không trong năm được sửa riêng lẻ!"...

…Tôi thích nghĩ về điều đó giống như “ly đầy một nửa và đầy” hơn là “ly rỗng một nửa và chảy qua một lỗ nhỏ ở đáy”. [CƯỜI]

Đó là ý kiến ​​của tôi.

---

CHÓ.  Được rồi, rất tốt.

Cảm ơn vì câu hỏi, Cassandra.

Nếu bạn có một câu chuyện, nhận xét hoặc câu hỏi thú vị mà bạn muốn gửi, chúng tôi rất muốn đọc nó trên podcast.

Bạn có thể gửi email tới tips@sophos.com, bạn có thể nhận xét về bất kỳ bài viết nào của chúng tôi hoặc bạn có thể đánh giá chúng tôi trên mạng xã hội: @NakedSecurity.

Đó là chương trình của chúng tôi cho ngày hôm nay; cảm ơn rất nhiều vì đã lắng nghe

Đối với Paul Ducklin, tôi là Doug Aamoth, xin nhắc bạn: Cho đến lần sau…

---

CẢ HAI.  Giữ an toàn!

[CHẾ ĐỘ ÂM NHẠC]