영어는 잘 못하지만 대충보니까 논문 결론이
뭐 오픈소스의 개방성과 메인테이닝 자원의 한계덕분에 우리가 취약점잇는 커밋을 통과시킬수 있옸고
동시성이나 간접호출같은거 막쓰면 리뷰하기복잡해서 커밋에 취약점 숨길수있음
우리의 연구가 오픈소스 패치 프로세스가 발전하는데 동기가 되었으면 좋겠음
뭐 이렇게 해놓은거같은데 ㅋㅋ
보통 이런 결론이 연구의 필요성에 들어가고
그 오픈소스 패치 프로세스 개선점을 연구해서 내놓는게 일반적인 논문아니냐 ㅋㅋ
어이없네 원래 이럼?
Spectre, Meltdown도 취약점만 가지고 논문 썼잖아? Author들이 이 정도 양이면 논문으로 쓸만하다고 판단했고, PC member들이 리뷰 결과 받아 줬으니까 논문이 된 거지.
그건 취약점 설명을 잘해서 막는법이 너무 명확한데? 뭐 아무튼 리뷰어들이 인정했으면 그만인건 맞음
걔네들은 엠바고 걸고 기업들한테 먼저 알려줘서 패치부터 배포하고 나중에 공개했잖아
이번 사건은 반대로 개발팀한테 알려주기 전에 논문부터 공개한거고
저 연구가 논문 거리가 되냐는 주제에 대해 얘기하는 중인데, 연구 윤리 얘기를 왜 끌고 옴
관련된 사람들 평판 떡락하는 일만 남은거지
흠 근데 이건 취약점을 가지고 논문을 쓴게 아니라 취약점을 만드는법으로 논문쓴느낌이라... 논문주제로 이상한건 아니긴한가
리눅스 커널 개발 과정 그 자체의 취약점이지. 보안 학회에 생각보다 이상한 논문 많이 나옴. 주제는 재밌었다고 봄. 최근에 php에 누가 백도어 심은 사건도 있었고, 실험을 잘 설계했다면 좋은 의미로 주목 받는 논문이 됐을 거라고 봄
결과적으론 안 좋은 쪽으로 주목받는 모양이 됐지만
뭔가 PoC를 위해 이런식으로 한거같은데, 직접 buggy 코드 심는게 아니라 이전에 버그있던 패치들 분석하는 식으로 했어야지 리뷰어들이 시간 남아돌아서 리뷰하는게 아닌데 ㅋㅋ 지도교수는 뭘 한건지 의문임
리눅스 커널가지고 저렇게 접근하는 애들이 한 둘이 아닌가보던데
다들 하는 얘기지만 애초에 멀쩡한 패치로 속이고 올릴 이유가 하나도 없음 뭐 특별한 버그도 아니고 숨쉬듯이 나오는 uaf 정도는 걍 기존 버그대응 분석하는게 표본도 많고 누구 속일일도 없었을것
근데 논문결론대로 악의적으로 취약점 넣기 좋은건 진짜 맞다