Que signifie le terme bug d'un jour?

12

J'ai rencontré ce terme récemment dans une chaîne de courrier. Google me dit qu'il existe un terme de bogue zero-day et que Microsoft et Adobe sont les pionniers :)

Existe-t-il un terme comme bug du premier jour ? Qu'est-ce que cela pourrait signifier?

terminology bug

— Lazer
source

2

Est-ce vraiment important étant donné que personne ne semble l'utiliser?

— Mchl

1

Cela signifie que votre "Dead Relative" au Ghana avec la fortune qu'ils ont imprégnée de leur tromperie informatique ... n'existe pas vraiment ... Je sais que cela vous ébranle probablement.

— SoylentGray

30

Un bug du premier jour est un défaut qui n'est pas une régression . Le défaut était présent dès le premier jour où la fonctionnalité a été implémentée. Il est utilisé pour faire valoir qu'un défaut est de faible priorité, car il a été expédié dans les versions précédentes sans beaucoup de plaintes des clients.

Citations:

Neohapsis> Archives> Mises à jour des produits Compaq>
Date 2001-q4 - novembre 2001 ou antérieur

Ce bug du premier jour était en sommeil jusqu'à la dernière version de PATHWORKS. Avec une ancienne version de PATHWORKS, les conditions étaient telles que la routine n'était jamais entrée simultanément. Cependant, la nouvelle version a un ensemble différent d'appels dans PWIP et le bug est maintenant exposé ...
Notes de version multiplateforme pour Cisco IOS version 12.2SR: mises en garde pour la version 12.2 (33) SRB ...
date - mai 2008?

CSCsl27236 ... est un bug du premier jour qui vient d'apparaître. Le client l'a trouvé dans des conditions de fortes contraintes ...
[security-dev 01487]: Problèmes OCSP dans JDK6 -
Date d' archivage du courrier OpenJDK - Jan 2010

Changeset: 95e9083cf4a7 ... Résumé: Ce bogue d'un jour est provoqué par des barrières de mémoire manquantes dans divers chemins Parker :: park () qui peuvent entraîner des réveils et des blocages perdus ...

— Brian Edwards
source

3

[citation nécessaire]

— Piskvor a quitté le bâtiment

@Piskvor citations fournies, voir la version mise à jour réponse

— gnat

2

Wikipédia déclare

Une attaque «zéro jour» se produit au plus tard le premier ou le «zéro» jour de sensibilisation des développeurs

Selon cette définition, un bogue d'un jour serait-il celui où un exploit est développé le deuxième jour de sensibilisation des développeurs?

Cependant, depuis Infoworld.com

Les bogues zero-day sont des vulnérabilités qui n'ont pas été corrigées ou rendues publiques.

Ils citent en outre Justine Aitel, PDG d'Immunity, déclarant

"Les insectes meurent lorsqu'ils deviennent publics, et ils meurent lorsqu'ils sont corrigés",

Je suppose que vous pouvez déduire de cette définition qu'un "bogue d'un jour" serait un terme dénué de sens, ou je suppose que vous pourriez dire que c'est un patch pour lequel il existe un public, mais auquel l'utilisateur n'a pas appliqué le patch.

— Stephen
source

2

Pouvons-nous avoir une source plus fiable que wikipedia!

— Martin York

2

@Martin Bien sûr que nous le pouvons.

— Stephen

@Martin juste parce que son wikipedia ne le rend pas automatiquement sans autorité

— Kenneth

@Kenneth: En fait, c'est exactement ce que Wikipédia est (sans autorité). C'est un endroit parfait pour commencer des recherches pour trouver une source faisant autorité mais en soi ce n'est pas faisant autorité (comme wikipedia lui-même se définit comme). Consultez la déclaration originale des chercheurs sur le site.

— Martin York

5

@Martin: Wikipdia ne fait pas autorité, mais les sources qu'il cite le sont. Donc, nous n'avons pas besoin d'être pointilleux sur le fait que Wikipedia fasse autorité ou non, nous pouvons simplement faire défiler vers le bas et regarder la section des ouvrages cités et voir par nous-mêmes.

— richard

2

Un bogue «premier jour» est simplement un bogue qui existe depuis longtemps (le premier jour étant la date de création du logiciel), par rapport à une «régression», ou un bogue récemment introduit. Lors de l'analyse d'un problème qui vient d'être signalé pour la première fois, il est courant de se concentrer sur les modifications récentes du logiciel comme source la plus probable du problème. Cependant, certains insectes mènent une vie charmée et restent en sommeil pendant des années (voire des décennies) sans être remarqués. D'après mon expérience en tant que développeur, les bogues du premier jour sont généralement masqués par d'autres logiciels qui réparent les dommages ou empêchent le bogue d'être exercé; des changements apparemment sans rapport peuvent supprimer l'un de ces "facteurs de compensation" qui permettent au bogue d'origine de se manifester et d'être remarqué. J'ai trouvé un bug en 2012 dans du code que j'avais écrit en 1986 et qui avait traité des milliards sinon des milliards de transactions sur des centaines d'installations avant son premier crash. J'ai passé plusieurs jours à me convaincre (en construisant des tests élaborés) que le bug était vraiment le premier jour.

Le terme "jour zéro" n'a aucun rapport avec le "jour un" beaucoup plus ancien.

— rsp
source

0

Demandez à la personne qui a utilisé l'expression. Il n'est pas suffisamment utilisé pour qu'une définition généralement acceptée existe.

Un "exploit de jour zéro" est un exploit de sécurité que le développeur du logiciel (ou la communauté de sécurité en général) connaît depuis 0 jours (c'est-à-dire pas encore) afin qu'il ne puisse y avoir de correctif. En extrapolant à partir de cela, un «exploit d'un jour» serait un exploit devenu public aujourd'hui, donc si le développeur et les utilisateurs agissent rapidement, quelques systèmes peuvent déjà être corrigés.

Mais cette extrapolation n'est pas nécessairement correcte, l'expression n'a peut-être rien à voir avec des exploits zero-day. La réponse de Brian semble en fait plus probable. Ce qui nous ramène à mon premier paragraphe.

— Michael Borgwardt
source