Cerrudo tenía razón: Microsoft reconoce nueva vulnerabilidad en Windows

Enviado por admin el 18. Abril 2008 - 16:58.

Actualización (19-Abril, 20:37): Cerrudo acaba de publicar su presentación, omitiendo el exploit a petición de Microsoft.

Pocos lectores daban crédito por estos lares a César Cerrudo cuando afirmó haber descubierto una vulnerabilidad en Windows Server 2008, el "servidor Windows más seguro que ha habido nunca" (Microsoft dixit), como si apuntar una vulnerabilidad en Windows constituyera un hecho insólito.

Aún menos recordarán que ayer, 17 de Abril, era el día en que Cerrudo había prometido presentar los detalles en Dubai, en el transcurso de HITBSecConf2008.

Pero aquí está este humilde sitio, dispuesto a recordar esa fecha y a mostrar a los incrédulos lo que Microsoft acaba de decir, que supone el reconocimiento de la vulnerabilidad apuntada por Cerrudo, y afectando no sólo a Windows Server 2008, sino también a Windows Vista, Windows XP SP2 y Windows Server 2003.

¿"Y el parche", dijo alguien? Algún martes de este año... o del próximo.

Igualico, igualico...

»

Comentarios

Selecciona tu forma preferida de visualizar los comentarios y pulsa el botón para guardar tus preferencias entre visitas (sólo si eres usuario registrado).

Hay que esperar el tiempo de respuesta

Enviado por anónimo el 18. Abril 2008 - 19:06.

para poder comparar la verdadera eficacia (o no) del soft libre. Cuando el reciente bug similar afectó a Linux, los tiempos de respuesta de las principales distros fueron desde 0 horas (Debian) hasta 37 horas (Centos).

Hay que ver cuantas ¿horas? se tarda el gigante de la informática en sacar el parche adecuado...

fuente

Una puntualización...

Enviado por anónimo el 18. Abril 2008 - 19:44.

En algunos casos (como el de Gentoo, donde se descubrió el bug) el tiempo de respuesta fue menor que 0, ya que la solución al problema apareció en los foros horas antes de la actualización oficial :)

Vamos Redmond. A ver si superas eso!

Y un agravante

Enviado por anónimo el 18. Abril 2008 - 20:01.

Cerrudo avisó hace casi un mes y nadie le hizo ni pajolero caso.

Igual es que un cambio en Microsoft no es tan fácil

Enviado por anónimo el 18. Abril 2008 - 23:04.

Leí hace tiempo este artículo http://www.codinghorror.com/blog/archives/001082.html sobre cómo la mentalidad de desarrollo de Microsoft restringía su tiempo de respuesta. Pegando del artículo original, que plantea el coste de agregar una función ChangeLightBulbWindowHandleEx estúpida:

# One dev to spend five minutes implementing ChangeLightBulbWindowHandleEx.
# One program manager to write the specification.
# One localization expert to review the specification for localizability issues.
# One usability expert to review the specification for accessibility and usability issues.
# At least one dev, tester and PM to brainstorm security vulnerabilities.
# One PM to add the security model to the specification.
# One tester to write the test plan.
# One test lead to update the test schedule.
# One tester to write the test cases and add them to the nightly automation.
# Three or four testers to participate in an ad hoc bug bash.
# One technical writer to write the documentation.
# One technical reviewer to proofread the documentation.
# One copy editor to proofread the documentation.
# One documentation manager to integrate the new documentation into the existing body of text, update tables of contents, indexes, etc.
# Twenty-five translators to translate the documentation and error messages into all the languages supported by Windows.The managers for the translators live in Ireland (European languages) and Japan (Asian languages), which are both severely time-shifted from Redmond, so dealing with them can be a fairly complex logistical problem.
# A team of senior managers to coordinate all these people, write the cheques, and justify the costs to their Vice President.

En resumen, que situaciones como esta justifican la existencia del modelo del Bazar frente a esta catedral.

Ok

Enviado por anónimo el 19. Abril 2008 - 1:32.

Es que a M$ le gusta hacer las cosas bien. ;)

Microsoft confirma que se trata del bug de Cerrudo

Enviado por anónimo el 18. Abril 2008 - 23:51.

Today, the company confirmed that Cerrudo's findings prompted its advisory. "Yes, the security advisory released yesterday and a presentation by a researcher in Dubai relate to the same issue," a company spokeswoman said in an e-mail.

http://www.computerworld.com/action/article.do?command=viewA...

¿Tienen dinero para comprar

Enviado por anónimo el 19. Abril 2008 - 0:48.

¿Tienen dinero para comprar a los de ISO y no tienen para comprar a Cerrudo? Joer con la crisis... Por lo menos el parche vendrá con la certificación ISO... espero. XD

No conoces a cerrudo

Enviado por anónimo el 19. Abril 2008 - 14:56.

Yo me informaria mejor quien es Cesar y despues haría esos comentarios...

Ad hominen

Enviado por anónimo el 19. Abril 2008 - 16:53.

¿Ataque ad hominen?

No conozco a cerrudo, pero sí a Microsoft.

Importa un carajo quien es cerrudo. Lo que importa es lo que ha descubierto.

No conoces a gates

Enviado por anónimo el 19. Abril 2008 - 18:14.

Yo me informaria mejor quien es Bill y despues haría esos comentarios...

Verdad?, Mentira?...

Enviado por anónimo el 21. Abril 2008 - 12:42.

El 50% de lo que leemos es mentira el 40% esta manipulado (sea verdad o mentira) y el 10% por aquello de la presunción de inocencia puede ser verdad.

y bien

Enviado por anónimo el 22. Abril 2008 - 8:51.

¿Quien es Cerrudo? ¿Que hace? ¿A que se dedica? ¿Donde estudio? ¿A que dedica el tiempo libreeeeeeeee??????????????

Y lo más importante

Enviado por anónimo el 22. Abril 2008 - 9:38.

¿Juega en el Madrid o en el Barcelona?

Ya se sabia esto del System, no?

Enviado por anónimo el 22. Abril 2008 - 16:18.

La vulnerabilidad de los permisos nivel root con SYSTEM, ya se sabia desde el año pasado
que se podria accesar desd .net y comandos de red, o wmi.

Microsoft, debio haber dividido en diferentes niveles de permisos para cada nucleo, haciendo totalmente
inocuo todos los programas vayan afectar al nucleo principal.

Pero al parecer parchean y parchean, nunca van acabar.

La solución es cambiar tooda la estructura, y antes de hacer una tonteria como vender el Win2008, mejor que cambien toda la estructura, y quiten el Index Search alenta un 30% la maquina, y vean si pueden poner algo asi como un Dekstop search de Google, que su busqueda es mucho más eficiente y consume 90% menos recursos, o mejor aun quitar el Index Search asi de simple, y/o solo enfocarlo exclusivamente para .exe en /archivos d programas.

atte
Constantino

Siempre debe ser más segura que el anterior versión

Enviado por anónimo el 9. Mayo 2008 - 10:29.

Hola, evidentemente cada nueva versión es más segura que la anterior, sino menuda forma de timar a la gente, otra cosa es lo que eso significa en el argot de Miko$oft, que vendría a ser algo asi:

Más seguro = Menos fallos que en el anterior Windows y/o más difíciles de detectar o demostrar.

Además ya debe de ser uno bien superraro para afectar a todos los Windows modernos (aunque no habla del W2K) y nadie lo hubiese descubierto hasta ahora, si nos ponemos así hasta descubrimos bugs en un reloj de arena.

Saludos.

Opinar

Los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Como norma general, en este sitio no se publican comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales, así como comentarios que no aportan nada, fuera de tema o que no se ajustan a la netiqueta, la ortografía o la educación.

Para poder enviar tus comentarios has de permitir las cookies del sitio.

Por favor, escribe arriba el resultado de la operación planteada. Gracias.
  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...