学习的科学:适合大脑的最佳途径
为什么人们不明白你在会议上提出的想法?为什么你正在指导的开发人员仍然不理解你?为什么参加你的课程的学员只学到10%的内容?在某种程度上,我们都是老师,但只有专业教育工作者才接受过这方面的培训。本文讨论从神经科学学到的知识,以及如何把它们应用到敏捷软件开发及其他行业。
新闻
Quicksort算法标准实现中发现严重安全漏洞
作者 Ryan Slobojan 译者 郭晓刚 发布于 2009年4月1日 上午12时1分
L0pht Heavy Industries黑客组织的一位研究者发现了Quicksort算法标准实现中的一处缺陷,论影响之广,这个漏洞肯定会在所有已知安全漏洞中名列前茅。InfoQ向L0pht组织的Dildog询问了漏洞的详情及可能造成的后果。
Dildog解释说这个漏洞属于利用缓冲区溢出的类型。在这类漏洞中,当用户执行带漏洞的程序时,其权限就会被恶意程序利用来执行任意代码。
本次发现的Quicksort安全漏洞代码还没有公开,但已有两家独立的安全分析公司确认Quicksort算法的标准实现中确实存在漏洞。Wikipedia上给出的Quicksort算法伪代码如下:
function quicksort(array)
var list less, greater
if length(array) ≤ 1
return array
select and remove a pivot value pivot from array
for each x in array
if x ≤ pivot then append x to less
else append x to greater
return concatenate(quicksort(less), pivot, quicksort(greater))
目前已确认以下库、运行时、产品受到此漏洞的影响:
- 多个JVM实现(包括来自Sun、IBM、Oracle/BEA和Apache的实现)
- .Net CLR,3.5 SP1及以下版本
- Microsoft Visual C Runtime,9.0及以下版本
- Adobe Flash运行时,10.0及以下版本
- glibc,2.6及以下版本
- Apache HTTPD,2.2.13及以下版本
- 众多集线器、交换机、路由器,包括部分来自Cisco、Juniper、D-Link、Netgear及Linksys的产品
据Dildog所说,该漏洞是在对一台受到未知恶意程序侵害的计算机分析取证时发现的。该恶意程序将受害计算机的所有系统声音都替换成了一曲80年代流行歌的片段(译注:Rick Astley,Never Gonna Give You Up),所有系统图片和图标都替换成了笑猫图(Lolcat)。
尽管目前尚未发现第二例感染报告,但我们建议所有InfoQ读者提高警惕,若您在电脑上发现任何Rick Astley或者Lolcat的踪迹,请立即向有关部门报告。
查看英文原文:Critical Security Vulnerability Found in Quicksort
可怕
发表人
陈 焕新
发表于
2009年4月1日 上午12时15分
Re: 可怕
发表人
Jeffrey Zhao
发表于
2009年4月1日 上午12时47分
应该是假消息
发表人
唐 统贤
发表于
2009年4月1日 上午4时58分
Re: 应该是假消息
发表人
Xiaogang Guo
发表于
2009年4月1日 上午6时7分
去年的时候就搞过类似的事情
发表人
木 乔
发表于
2009年4月1日 上午9时11分
Re: 去年的时候就搞过类似的事情
发表人
霍 泰稳
发表于
2009年4月1日 上午10时21分
Re: 去年的时候就搞过类似的事情
发表人
Ribin Zheng
发表于
2009年4月4日 上午11时26分
........
发表人
Fisher Wei
发表于
2009年4月2日 上午10时0分
8 条回复
关注此讨论 回复