Estas aquiContenido / Cerrudo tenía razón: Microsoft reconoce nueva vulnerabilidad en Windows
Cerrudo tenía razón: Microsoft reconoce nueva vulnerabilidad en Windows
Actualización (19-Abril, 20:37): Cerrudo acaba de publicar su presentación, omitiendo el exploit a petición de Microsoft.
Pocos lectores daban crédito por estos lares a César Cerrudo cuando afirmó haber descubierto una vulnerabilidad en Windows Server 2008, el "servidor Windows más seguro que ha habido nunca" (Microsoft dixit), como si apuntar una vulnerabilidad en Windows constituyera un hecho insólito.
Aún menos recordarán que ayer, 17 de Abril, era el día en que Cerrudo había prometido presentar los detalles en Dubai, en el transcurso de HITBSecConf2008.
Pero aquí está este humilde sitio, dispuesto a recordar esa fecha y a mostrar a los incrédulos lo que Microsoft acaba de decir, que supone el reconocimiento de la vulnerabilidad apuntada por Cerrudo, y afectando no sólo a Windows Server 2008, sino también a Windows Vista, Windows XP SP2 y Windows Server 2003.
¿"Y el parche", dijo alguien? Algún martes de este año... o del próximo.
Igualico, igualico...
para poder comparar la verdadera eficacia (o no) del soft libre. Cuando el reciente bug similar afectó a Linux, los tiempos de respuesta de las principales distros fueron desde 0 horas (Debian) hasta 37 horas (Centos).
Hay que ver cuantas ¿horas? se tarda el gigante de la informática en sacar el parche adecuado...
fuente
En algunos casos (como el de Gentoo, donde se descubrió el bug) el tiempo de respuesta fue menor que 0, ya que la solución al problema apareció en los foros horas antes de la actualización oficial :)
Vamos Redmond. A ver si superas eso!
Cerrudo avisó hace casi un mes y nadie le hizo ni pajolero caso.
Leí hace tiempo este artículo http://www.codinghorror.com/blog/archives/001082.html sobre cómo la mentalidad de desarrollo de Microsoft restringía su tiempo de respuesta. Pegando del artículo original, que plantea el coste de agregar una función ChangeLightBulbWindowHandleEx estúpida:
# One dev to spend five minutes implementing ChangeLightBulbWindowHandleEx.
# One program manager to write the specification.
# One localization expert to review the specification for localizability issues.
# One usability expert to review the specification for accessibility and usability issues.
# At least one dev, tester and PM to brainstorm security vulnerabilities.
# One PM to add the security model to the specification.
# One tester to write the test plan.
# One test lead to update the test schedule.
# One tester to write the test cases and add them to the nightly automation.
# Three or four testers to participate in an ad hoc bug bash.
# One technical writer to write the documentation.
# One technical reviewer to proofread the documentation.
# One copy editor to proofread the documentation.
# One documentation manager to integrate the new documentation into the existing body of text, update tables of contents, indexes, etc.
# Twenty-five translators to translate the documentation and error messages into all the languages supported by Windows.The managers for the translators live in Ireland (European languages) and Japan (Asian languages), which are both severely time-shifted from Redmond, so dealing with them can be a fairly complex logistical problem.
# A team of senior managers to coordinate all these people, write the cheques, and justify the costs to their Vice President.
En resumen, que situaciones como esta justifican la existencia del modelo del Bazar frente a esta catedral.
Es que a M$ le gusta hacer las cosas bien. ;)
Today, the company confirmed that Cerrudo's findings prompted its advisory. "Yes, the security advisory released yesterday and a presentation by a researcher in Dubai relate to the same issue," a company spokeswoman said in an e-mail.
http://www.computerworld.com/action/article.do?command=viewA...
¿Tienen dinero para comprar a los de ISO y no tienen para comprar a Cerrudo? Joer con la crisis... Por lo menos el parche vendrá con la certificación ISO... espero. XD
Yo me informaria mejor quien es Cesar y despues haría esos comentarios...
¿Ataque ad hominen?
No conozco a cerrudo, pero sí a Microsoft.
Importa un carajo quien es cerrudo. Lo que importa es lo que ha descubierto.
Yo me informaria mejor quien es Bill y despues haría esos comentarios...