Компания Aflex Distribution, представитель интересов российских и зарубежных компаний-разработчиков ПО в России, странах СНГ и Балтии, сообщила об обнаружении новой уязвимости нулевого дня в ОС Windows, которая использует файл win32k.sys (критический компонент ядра Windows). В результате переполнения буфера в файле ядра у злоумышленника появляется возможность обойти контроль учетных записей Vista...

Читать статью на CNews

Подумаешь, тоже мне новость.
Плохо другое, что они никак не могут наладить вменяемое качество тестирования софта на выходе.
Экономят на персонале или тупо обнаглели и считают армию пользователей филиалом отдела тестирования?

Все, кто пользуются Windows 2000 и Windows XP, могут после прочтения этой новости вздохнуть свободно и подумать : "Пронесло!"



Ибо эти системы-то не поддерживаются, но до сих пор широко используются!

Для составления адекватных тестовых пакетов для их кода надо времени ещё раза в два больше, чем на написание кода, и персонала соответственно. Экономят -- а в результате тестированием занимаются разработчики приложений и пользователи. Юридическая основа такой "экономии" -- Отказ От Ответственности, который ИМХО нелегитимен как класс (американские пользователи тоже так считают).

А в области ПО полная всеобъемлющая ответственность реальна?
Есть такая в природе? и в частности по ОС? у венды или у маков или у СПО?

ИМХО да, хотя и не в быту/офисе.Софт для жизнеобеспечения с соответствующим железом, сторожевые системы химических и ядерных реакторов и т.п. Там ни вендов, ни макоси. Бывает ППО (VxWorks), бывает СПО (линукс или бсдя без исков), всё проверенное-перепроверенное. С закрытым кодом -- НИКОГДА. Чаще, впрочем, такие штуки делаются вообще без ОС, на простейших и надёжнейших прошивках.

Этой уязвимости уже несколько месяцев - она использовалась в Stuxnet.

Неужели ... та самая... плановая закладка для спецслужб?!

Вообще-то надёжные проекты пишутся одновременно с тестами, и затраты на написание тестов и моделирование разных ситуаций, по моим сведениям - половина стоимости проекта, если не больше. А зачем капиталисту тратить деньги, если их можно не тратить? eula написать дешевле и проще.

то есть только специализированное, даже скорее узкоспециализированное и без всего лишнего.
итого для бытового/офисного, куда могут напихать что угодно это не пройдет

и кстати, уточнюсь, ОС на базе СПО дают ответственность?

orlusha, я тоже сначала так подумал Но все-таки нет, это просто дырка.

ОС ответственность может давать только за нелегальное копирование. А вот некоторые разработчики дают, но не ответственность, а некоторые гарантии. Даже у MS есть такие подписки, во всяком случае к win2000 были. И при этом, кстати, в eula было написано прямым текстом, что обновления ставить нельзя (!), это должны делать специально обученные сотрудники MS после предварительного тестирования. Жаль дистрибутив не сохранился. Конечно же, русских версий не было и нет.

Цена такой винды, вроде бы, что-то от полсотни штук баксов в год. Но к сожалению точной информации у меня нет.