Обнаружена и объяснена уязвимость в восстановленной ОС UNIX v4

В конце 2025 года в Университете Юты была найдена и успешно восстановлена считавшаяся утерянной операционная система UNIX v4 (1973 года). Это исторический релиз, в котором ядро впервые было переписано с ассемблера на язык Си. Исходный код, включающий 27 тысяч строк на Си, опубликован на GitHub и готов для запуска в симуляторе PDP-11.

В ходе изучения кода в утилите su (меняющей пользователя на root) была обнаружена классическая уязвимость переполнения буфера. Программа копировала вводимый пароль в фиксированный массив без проверки длины, что теоретически позволяло перезаписать память и выполнить произвольный код.

Этот баг прокомментировал один из пионеров Unix, 93-летний Дуглас Макилрой. Он объяснил, что до знаменитого червя Морриса (1988) сообщество не воспринимало переполнения буферов как серьёзную угрозу. Проверки ручного ввода считались излишним усложнением кода, а аварийное завершение приемлемой реакцией на ошибку. Философия была простой: «Кому понадобится вручную вводить строку длиннее 100 символов?».

Уязвимость стала живым свидетельством эволюции мышления в области кибербезопасности. Она наглядно показывает, как изменились подходы от доверия к окружению до принципа «никогда не доверяй входным данным».

Источник: vk.com

Источник: ai-news.ru