<p dir="ltr"></p>
<p dir="ltr">On Oct 29, 2016 12:52 PM, "Yawning Angel" <<a href="mailto:yawning@schwanenlied.me">yawning@schwanenlied.me</a>> wrote:<br>
><br>
> On Sat, 29 Oct 2016 11:51:03 -0200<br>
> Daniel Simon <<a href="mailto:ddanielsimonn@gmail.com">ddanielsimonn@gmail.com</a>> wrote:<br>
> > > Solution proposed - Static link the Tor Browser Bundle with musl<br>
> > > libc.[1] It is a simple and fast libc implementation that was<br>
> > > especially crafted for static linking. This would solve both<br>
> > > security and portability issues.<br>
><br>
> This adds a new security issue of "of all the things that should<br>
> have ASLR, it should be libc, and it was at one point, but we started<br>
> statically linking it for some stupid reason".</p>
<p dir="ltr">If this is accurate, that statically linking will enable pre-built rop chains because libc is at a predictable memory address, I would strongly oppose it for this reason alone.</p>
<p dir="ltr">It would be a major step backwards in security.</p>
<p dir="ltr">-tom</p>