"Nem akarlak elkeseriteni, de mar egy mosogepben is programozhato szamitogep van, altalanos celra is alkalmas processzorral ;)"
Azért nem mindegy, hogy milyen proci. Egy buffer overflow sebezhetõséghez minimum az kell, hogy legyen stack, és a függvény hívások hasonlóan mûködjenek, mint pl. az x86-nál.
Az egyszerûbb procik, még ha programozhatók is nem feltétlenül ilyenek.
"Amit irtal az info es a kod kulonbsegerol, nem ertem."
Egyszerû : a hálózatról jövõ adat vagy fixen adat, és a rendszer soha sem próbálja meg lefuttatni, vagy esetleg mégis (pl. szoftver frissítés).
"Tudod, nem sok halozati alkalmazast irnak olyan celra, hogy kivulrol futtathato kodot kapjon."
ActiveX, Java, MS Office makrók, ...
Meg nem is kell feltétlen kódot kapnia, lehet az utasítás is. Pl. a Windows RPC (Remote Procedure Call - rémlik még a Blaster?).
"De potencialisan kihasznalhato hiba szinte mindenben van, amivel el lehet erni hibas mukodest, vagy akar kod feltolteset is."
Nem. Egy hálózati szoftvert meg lehet írni tökéletesen. Pont azért, mert a kapott adatot sosem kell kódként értelmezni (kivéve, ha pont az a feladat). Ilyen esetben a buffer overflow marad csak, ami meg könnyen védhetõ, ha már a fejlesztés elejétõl odafigyelnek. Vagy ha egyszerûen csak elég fejlett programozási módszereket használnak. Például amikor elkezdett divatba jönni ez a hiba, átgondoltam, hogy a saját épp fejlesztett erõsen hálózatos szoftverem mennyire érintett. Gyorsan rájöttem, hogy gyakorlatilag semennyire, mivel sehol sem használok 'char buffer[...];' típusú buffereket, és az ilyenek okoznak gondot.
"Plane ilyen komplex alkalmazas eseten."
Szerintem ez nem túl komplex. Legalábbis a hálózatot vezérlõ kód. A felsõbb szintekre pedig már nem juthat hibás adat, ha nomálisan írták meg a programot.