645meneos

Descubierto fallo grave en el núcleo de Windows Vista

Un empleado de una compañía austriaca ha encontrado una vulnerabilidad en el kernel de Vista. El fallo está en el sistema de red, y consiste en que ciertas operaciones pueden producir un buffer overflow y provocar un cuelgue total del sistema, o incluso ejecutar codigo malicioso en el ordenador. No se espera solución hasta el próximo SP de Vista. [ENG]

92 comentarios en: tecnología, software karma: 695

etiquetas: ms, windows vista

negativos: 0 usuarios: 242 anónimos: 403 compartir:

#1 "Un empleado de una compañía austriaca ha encontrado una vulnerabilidad en el kernel de Vista."

¿Sólo una?
votos: 7, karma: 61
por pcmaster el 23-11-2008 10:49 UTC
#2 Ha descubierto la rueda
votos: 6, karma: 75
por juvenal el 23-11-2008 10:50 UTC
#3 sin comentarios... cuando empezará al gente a darse cuenta de ésto, los fallos de windows, NO es lo normal en un SO. Pero, por desgracia, nos tienen acostumbrados a ello.
Llevo casi un año con SUSE 10 en el curro y no lo cambio por ninguno que no sea linux.
Espero que pronto se les caiga el chiqinguito a los de M$, por el bien de todos.
votos: 19, karma: 132
por miguelangelriveiro el 23-11-2008 10:53 UTC
#4 Dejemos que Vista se apague poco a poco.

(Y se encienda ... todo lo hace poco a poco) :-)
votos: 5, karma: 35
por dogday el 23-11-2008 10:56 UTC
#5 » ver comentario
por --37164-- el 23-11-2008 10:57 UTC
#6 #4 Eso, que se apaque el Vista y llegue el 7... Oh no! Pero si está basado en el propio Vista! y las primeras pruebas de la Beta dicen que... que es igual! M$ está en bucle infinito!
votos: 7, karma: 69
por Shoguin el 23-11-2008 11:03 UTC
#7 Comentarios del tipo: "Yo uso linux y a mi eso no me pasa" debajo de la linea. Gracias por su colaboración.

__________________________________________________________________________________________________
votos: 49, karma: 34
por Jonarano el 23-11-2008 11:06 UTC
#8 Hombre, eso no es un fallo grave, es un fallo habitual, el fallo grave ha sido la previa instalacion del Vista
votos: 18, karma: 168
por elbuit el 23-11-2008 11:06 UTC
#9 ¿El próximo SP de Vista no es Windows 7? xd
votos: 3, karma: 32
por demoledor el 23-11-2008 11:07 UTC
#10 #7 Yo usaba Windows, hasta que aprendí lo que es un sistema operativo. También usaba pañales, hasta que aprendí a mear de pie. ¿Así está bien? xD
votos: 54, karma: 507
por JarFil el 23-11-2008 11:09 UTC
#11 joder, y para que profundiza tanto...
votos: 0, karma: 7
por enmafa el 23-11-2008 11:11 UTC
#12 #7 Yo uso linux y a mi eso no me pasa.
votos: 28, karma: 258
por javierchiclana el 23-11-2008 11:13 UTC
#13 #3. ¿Y?. Yo uso como 7 sistemas distintos en el curro entre ibm, linux, windows,y hasta macosx, y no hay ninguno exento de fallos y cagadas, algunos de ellos igual de graves o más. Si vamos a hablar por hablar me pondré a hablar de microbiologia porque tengo un vecino que lee mucho sobre ello y estoy enteradisimo.. porque si lo dice mi vecino tiene que ser verdad. Un poco de objetividad, pofavó....
votos: 23, karma: 205
por lluevert el 23-11-2008 11:14 UTC
#14 #10: LOL. Lo que pasa que hay gente que es reacia a aprender.
votos: 0, karma: 6
por sheriff_tomorrow el 23-11-2008 11:16 UTC
#15 #7 Yo uso linux y a mi eso no me pasa
votos: 7, karma: 71
por miau el 23-11-2008 11:18 UTC
#16 » ver comentario
por --46333-- el 23-11-2008 11:23 UTC
#17 #7 Deberían ir debajo y encima de la línea. Goto #3 :P .
votos: 0, karma: 6
por N4D13LOLZ el 23-11-2008 11:24 UTC
#18 Yo uso pasa y a mi eso no me Linux
votos: 28, karma: 254
por pilarina el 23-11-2008 11:26 UTC
#19 #7 yo uso Windows y Linux, y a mi eso me pasa con uno de los dos
votos: 4, karma: 37
por Jotace.. el 23-11-2008 11:27 UTC
#20 Yo uso linux y a mi eso no me pasa, y tengo que usar Windows XP para los juegos, y eso concretamente tampoco me pasa con ese.
votos: 3, karma: 29
por xenko el 23-11-2008 11:29 UTC
#21 la noticia deberia titularse algo así:

Descubierto fallo grave, el núcleo de Windows Vista
votos: 12, karma: 111
por friskies el 23-11-2008 11:32 UTC
#22 #7 Yo uso Linux y es lógico que no me encuentre errores en el núcleo de Windows Vista ¿no?
votos: 17, karma: 168
por ailian el 23-11-2008 11:38 UTC
#23 » ver comentario
por --71060-- el 23-11-2008 11:40 UTC
#24 Yo uso la vista para ver la pantalla...no, espera...Yo uso Linux porque me deja mejor la colada que Vista Express...no, no ,no...espera...Vista lo Visto y ya tiene ropa!! Síiiiiii
votos: 1, karma: 14
por pady el 23-11-2008 11:45 UTC
#25 habría que recordar que el software lo hacen humanos...y como todo, tiene fallos. La única ventaja que tiene hoy por hoy nuestro adorado linux es que al ser de código libre, suele ser más fácil encontrar y solucionar los fallos y no se depende del esquema de "seguridad por secreto" que microsoft utiliza bastante. Pero en cuanto linux se haga atractivo para scam y otras triquiñuelas porque tenga suficientes usuarios, cuidadín. NO por tener una arquitectura más segura y un sistema de usuarios más afinado se es invulnerable :-)
votos: 2, karma: 4
por enderwiggins el 23-11-2008 11:47 UTC
#26 Mac os X 10.5.5 :)
votos: 2, karma: 7
por Undermac el 23-11-2008 11:52 UTC
#27 Es verdad que Vista es una patata infumable, pero yo no puedo instalar linux porque mi grafica es de ati y ubuntu por ejemplo ni arranca y ultimo suse se cuelga a la mitad de la instalación lo instales como lo instales
votos: 0, karma: 6
por el_loco_del_gorro el 23-11-2008 11:53 UTC
#28 #25 No es invulnerable, pero al menos no tenemos que esperar a que salga el próximo service pack quién sabe cuánto tiempo.

#27 Dudo mucho que eso sea por tener una ATI, yo lo he instalado en PCs donde ni tarjeta aceleradora tenían.
votos: 3, karma: 19
por Tomatejc el 23-11-2008 11:55 UTC
#29 Yo uso Windows y Linux, y eso me pasa en los dos.
En windows tengo que parchear y en linux también tengo que parchear.

Los sistemas operativos tienen fallos, como cualquier cosa creada por los hombres, la diferencia es que un fallo en Windows afecta a cientos de millones de ordenadores, y un fallo en linux afecta a menos ordenadores porque se utiliza menos.
Detrás de windows hay miles de personas buscandos fallos, y detrás de la versión X de la distribución Y del kernel XY, hay 10 personas buscando fallos.

Ni Windows es seguro por naturaleza ni tampoco lo es Linux, lo importante es la educación informática del usuario.
votos: 6, karma: 59
por sam2001 el 23-11-2008 11:59 UTC
#30 #3
20/11/2008 Actualización de múltiples paquetes en SuSE Linux
SuSE ha publicado una actualización para múltiples paquetes que solucionan numerosas vulnerabilidades.

www.hispasec.com/unaaldia/3680
votos: 11, karma: 104
por kadmon el 23-11-2008 12:01 UTC
#31 Para mi lo normal no es que Vista tenga un fallo, el ssh en Debian fue una cagada monumental y sigo usando Debian... Lo importante es que si existe ese fallo se repare ya. Cosa que si es cierto lo que ponen en la noticia de que se arreglará en un próximo service pack, sí es una aberración. Es algo como, bien tenemos un fallo de seguridad medianamente grave, pero tanto da, ya lo arreglaremos dentro de unos meses. Y pretenden vender algo seguro??? La verdad esta política de corrección de errores de seguridad es una locura... Así cuando aparece un zero day bug (en.wikipedia.org/wiki/Zero-Day_Attack) pasa lo que pasa...
votos: 2, karma: 21
por nexus7 el 23-11-2008 12:21 UTC
#32 » ver comentario
por --49911-- el 23-11-2008 12:22 UTC
#33 Ni Windows ni GNU/Linux son perfectos, pero siempre es preferible usar algo que puedes mirar por dentro a ver que es lo que tienes.
Yo uso Ubuntu y a todos los amigos y familiares que puedo se lo endoso, pero el otro día me dí cuenta de un fallo realmente grave en la seguridad de Ubuntu es que si en lugar del inicio normal entras en el "recovery mode" te dan sin contraseña ni nada los poderes de super-vaca (jeje), así que todo eso de poner contraseñas te vale para poco.
votos: 2, karma: 1
por apple3 el 23-11-2008 12:30 UTC
#34 La verdad es que hay que dar gracias a todos los seguidores de la fé linux en subir esto rápidamente a portada y contribuir a que la gente lo vea, actualice y Windows sea cada vez más seguro.

En realidad creo que windows ya es incluso más seguro que linux. Porque a saber la de equipos linux con vulnerabilidades que habrá sin parchear debido a que sus usuarios/administradores siguen con la creencia de que "linux es seguro"

Recordad chicos, no hay mayor agujero de seguridad que el pensar que el sistema de uno es seguro.
votos: 8, karma: 42
por Desmond el 23-11-2008 12:32 UTC
#35 #13 +1
#30 PWNS #3
#34+1
Todo aquel que piense que linux no tiene fallos en el kernel, es un ignorante.
votos: 6, karma: 35
por test el 23-11-2008 12:35 UTC
#36 Ufff, voy a tener que cambiarme a linux, porque linux no tiene bugs, linux es estable, el escritorio no se cuelga nunca...
votos: 4, karma: 23
por MarioEstebanRioz el 23-11-2008 12:36 UTC
#37 Esto seguramente ocurre debido a que Microsoft no contrata a ingenieros informáticos, puro intrusismo. Si la profesión hubiese estado regulada no habría estos bugs ya que un ingeniero hubiese elaborado unos análisis de requerimientos adecuado y luego el diseño se hubiese plasmado correctamente siguiendo los pasos de una SCRUM o Métrica. Sí es posible evitar los fallos en los programas, el problema es que estos son generados por los intrusos. </ironía just in case>
votos: 8, karma: 78
por erlang el 23-11-2008 12:36 UTC
#38 Solución: Instalar XP
votos: 3, karma: 15
por cuervo89 el 23-11-2008 12:38 UTC
#39 #33 puedes editar el menu.lst para que no te aparezca o puedes hacer como que te pida contraseña en

Proteger con contraseña

Para que ningún usuario no autorizado pueda modificar los valores de GRUB en tiempo de ejecución, podemos establecer una contraseña, de esta forma sólo pulsando la tecla 'p' e introduciendo la contraseña se podrán cambiar los parámetros del programa.

* Editamos el archivo de configuración del menú de arranque de GRUB:

$ sudo gedit /boot/grub/menu.lst

Buscamos la siguiente línea:

#password topsecret

* Borramos la almohadilla o numeral (#) de la línea, haciendo esto la descomentaremos. Debe quedar así:

password topsecret

* Guardamos el archivo y cerramos el editor.

Ahora la contraseña es topsecret, se puede cambiar e introducir la que se desee.

Sacado de www.guia-ubuntu.org/index.php?title=GRUB#Proteger_con_contrase.C3.B1a
votos: 3, karma: 32
por jl1982fm el 23-11-2008 12:41 UTC
#40 #17 ¿debajo? ¿encima? ¡guarro! xD
votos: 0, karma: 6
por theosk el 23-11-2008 13:09 UTC
#41 » ver comentario
por --111483-- el 23-11-2008 13:10 UTC
#42 » ver comentario
por --16029-- el 23-11-2008 13:15 UTC
#43 #33: Eso no es un fallo, porque si alguien quisiera aprovechar esa vulnerabilidad, tendría que tener acceso físico al equipo, y si tiene acceso físico, entonces es tontería, te puede joder el equipo con un CD Live o a martillazos, según lo fino que sea.

Pero vamos, que si no, lo que dice la rubbiaa... perdón, #39.

P.D Repito a #42.
Por cierto, si los datos son vitales, cifrado de disco.
votos: 1, karma: 28
por caronte el 23-11-2008 13:15 UTC
#44 #25 Estamos de acuerdo en que ningún softwares es invulnerable, pero que Linux es menos vulnerable porque no es "interesante" me parece una tontería bien gorda y muy repetida. ¿Qué sistema operativo y servidor web corren la mayoría de servidores importantes de la red? ¿Qué sistema operativo utilizan la mayoría de supercomputadores? Bah, nada importante ¿quién iba a querer controlar los principales servidores de la red pudiendo infectar máquinas de lusers de Windows?
votos: 2, karma: 9
por rasca el 23-11-2008 13:19 UTC
#45 De que me suena eso?
votos: 0, karma: 9
por --88321-- el 23-11-2008 13:20 UTC
#46 #25 Se dice "security through obscurity" y Linux es seguro por diseño, no por ocultismo.
Toma flame.
votos: 1, karma: 13
por --70290-- el 23-11-2008 13:35 UTC
#47 #7, #25, lo bueno de Linux, es que si se descubre un fallo tan grave como este, unos cuantos frikis de la informática muy competentes se ponen a arreglarlo ipso facto, sin cuestionarse si deben dejarlo tal cual y esperar a solucionarlo en la próxima distribución de Linux, y hacer que la gente migre obligatoriamente para tener un S.O. en condiciones.
votos: 1, karma: 17
por xenko el 23-11-2008 13:36 UTC
#48 » ver comentario
por --112694-- el 23-11-2008 13:47 UTC
#49 yo uso CP/M en un ZX Spectrum plus 3 y de momento estoy muy contento...
tengo mas de 10.000 juegos, más que con Linux
votos: 4, karma: 21
por mittemot el 23-11-2008 13:49 UTC
#50 #7 Yo solo veo porno y a mi eso no me pasa.
votos: 1, karma: 18
por dmp1984 el 23-11-2008 14:00 UTC
#51 #34 ¿Y cómo propones que la gente actualice sus Windows si no existe parche? La cuestión es que dejando de lado que en todos los sistemas existen problemas de seguridad me parece temerario admitir que existe y decir que el parche estará en el próximo SP, que a saber cuando será eso.

Así que por ahora la única seguridad que tienen los usuarios de Windows no es enterarse de que existe la vulnerabilidad y parchear, es que no aparezca ningún exploit para este bug antes de que aparezca el SP da igual que sepas que existe o no porque no tiene solución, y eso me parece una irresponsabilidad por parte de Microsoft. A ver si aprenden de una vez que los parches de seguridad no se programan, se suministran cuando son necesarios, y para mí que alguien pueda tomar de forma remota el control de mi ordenador se clasifica como tal, y si para Microsoft no es así ellos sabrán porqué.
votos: 3, karma: 35
por Devlin el 23-11-2008 14:17 UTC
#52 un fallo...

solo uno????????

por dios ese sistema operativo es un fallo
votos: 0, karma: 6
por yandrosdelkaos el 23-11-2008 14:31 UTC
#53 » ver comentario
por --72350-- el 23-11-2008 14:35 UTC
#54 estoy convencido de que xp es un buen sistema operativo, voy por la sp3 que es bastante estable y sobre todo porque todos mis programas de trabajo van con windows. Utilizo Linux en mis ratos de hobby, para investigarlo, aunque no tiene todos los programas que yo quisiera, sobre todo de gestion.
votos: 0, karma: 7
por enmafa el 23-11-2008 14:47 UTC
#55 esto es como en la politica...

aprovechar los fallos de los demas para hacer cambiar a la gente en vez de mostrar las bondades de uno mismo.
votos: 0, karma: 6
por air_maximus el 23-11-2008 14:50 UTC
#56 » ver comentario
por --16029-- el 23-11-2008 14:52 UTC
#57 Menéame, lugar donde cualquier fallo, grande o pequeño, de Microsoft es portada al instante pero luego te pasas por pendientes y ves que la mayoría de fallos de la competencia igualmente importantes no son publicados cuando no, ni en pendientes están.

Por ejemplo, tenemos un fallo del iphone que permite a cualquiera con una web, con un simple enlace, sin que te des cuenta, bloquear el terminal y provocar una llamada a cualquier número de teléfono al estilo de los clásicos dialers para que tu factura a fin de mes sean de las que hacen historia:

meneame.net/story/iphone-puede-hacer-llamadas-involuntariamente-visitai

Pero eso a nadie le interesa porque lleva dos días en pendientes, a pesar de ser bastante más grave que esto.

Que cierto es eso de que menéame no sirve para informarse.

Lo digo a modo de ejemplo de la "objectividad" que se vive por aquí.

P.D: el fallo del iphone ya está solucionado. Gracias a que el descubridor del bug esperó a que apple lo arreglase, claro.
votos: 3, karma: 36
por kadmon el 23-11-2008 14:56 UTC
#58 No se, he estado leyendo sobre el fallo y vale, sera muy grave pero por lo que me ha quedado claro:

Hace falta que un tener permisos de administrador en la maquina para ejecutar un programa que tenga una llamada a la función con el buffer overflow.

A traves del buffer overflow, se puede hacer un BSOD a la maquina (aunque vamos, si tenemos que haber ejecutado antes un programa como administrador, maneras mas faciles que estas habra).

En teoria, se podria llegar ha hacer que gracias a ese buffer overflow pudieramos ejecutar codigo en la máquina (recordemos que ya tenemos que tener permisos de administrador para hacer la llamada a la función con el fallo). La gente que descubrio el fallo aun no ha logrado ejecutar código a traves del buffer overflow, pero eso no quita que en teoria se pueda hacer (si no tenemos un ordenador con bit NX)

Tambien en teoria, si no tenemos acceso previo como administrador a la máquina para ejecutar código con esa llamada, podriamos aprovechar el bug mediante un envío de paquetes dhcp. Igual me equivoco, pero al parecer solo un servidor DHCP en tu red podria lanzarte este ataque, y repito, en teoria, que tampoco lo han podido probar.

Vale que es un fallo, pero no se, tampoco me parece que por este fallo se vayan a caer todos los windows vista que hay por ahi.
votos: 2, karma: 23
por Razhan el 23-11-2008 15:07 UTC
#59 #7: es más significativo tu comentario que cualquiera que vaya por debajo de la línea.
votos: 0, karma: 10
por RinzeWind el 23-11-2008 15:26 UTC
#60 Windows de mal en peor.
votos: 0, karma: 6
por Kapsiko el 23-11-2008 16:18 UTC
#61 A estas alturas de la fiesta, lo mismo da una más que una menos: A vista ya no lo levanta ni su madre.
votos: 0, karma: 6
por Lacasito el 23-11-2008 16:20 UTC
#62 #25 Linux se ha más que probado a lo largo de su vida por varias razones como: es el S.O. más utilizado para servidores web, por lo que mucha gente ha estado buscando (y explotando) vulnerabilidades para colarse; los que solían usar Linux eran gente que sabía bastante del tema, y ya se preocuparían de cerrar los agujeros y solventar las vulnerabilidades (no todas, claro, eso es casi imposible), etc.

#27 No debe ser sólo problema de la ATI. Yo tengo ATI y Debian en este portátil, por ejemplo. Además eso no sería problema del S.O. únicamente, sino de las X. Instálalo sin entorno gráfico y ve mirando cómo instalartelo más tarde, probando algunas posibilidades, ya verás como acabas teniéndolo completamente operativo.

#29 La razón de que Linux es seguro porque lo usa menos gente es, con perdón, una gilipollez.

#33 Eso no es un fallo de seguridad, ni lo has descubierto tú xD

#34 Te remito a lo que le dije a #25.

#42 Es obvio que un sistema operativo no te va a proteger de alguien que coja tu disco duro y vea lo que tiene, pero para eso se puede encriptar la información o protegerlo de distintas formas, aunque eso ya es harina de otro costal.
Sobre lo que dices de que un sistema es seguro si no se puede explotar desde la red no es del todo correcto. Esa es una de las facetas de un sistema seguro, pero si por ejemplo tienes un ordenador con información sensible no conectado a la red y a él tienen acceso otras personas, si el sistema es inseguro, alguien con acceso a él puede acceder a cualquier información en el ordenador. Eso por ejemplo es vital en sitios que tengan una intranet cerrada sin acceso a internet exterior.

Con amor :D
votos: 1, karma: 17
por Makinasube el 23-11-2008 17:04 UTC
#63 Mi vida cambió el dia que conocí a Linux.
Lava mas blanco y mi ropa queda sedosa con una agradable sensación al tacto.
Soy la envidia de mis vecinas.
No cambio mi Linux por nada del mundo.
Ni por 2 tambores de Windows?
Pues nó.
Comprobado. El poder de Linux es insuperable
votos: 5, karma: 56
por heinkel111 el 23-11-2008 19:06 UTC
#64 #62 Poder acceder a permisos administrativos en la instalación por defecto sin autentificar es un fallo de seguridad crítico aquí y en la china popular. :-P

Una solución independiente de sistema operativo además es poner contraseña en la BIOS de manera que no puedas arrancar ningún sistema operativo ni por live-CD ni nada sin introducir esa contraseña.
votos: 0, karma: 10
por rodz el 23-11-2008 19:41 UTC
#65 #13

¿qué sistema operativo es IBM? porque a mi me suenan AIX, OS/2 (que lo han quitado, pero por ahí algo quedará con ello) VM, VMS, OS/390, z/OS,(llevo tiempo sin arrimarme a los mainframe, pero creo que bajo el CICS corría esto), pero como IBM de SO no me suena para nada.

Saludos

P.D. El los mainframe el linux va bastante bien
votos: 0, karma: 7
por jmfer el 23-11-2008 19:42 UTC
#66 » ver comentario
por --16029-- el 23-11-2008 20:05 UTC
#67 » ver comentario
por --89911-- el 23-11-2008 20:08 UTC
#68 #7 Repite conmigo:

Tengo un windows con un agujero de seguridad hasta que Microsoft no tenga el parche no puedo hacer nada.

Chorus.

Tengo un agujero de seguridad en Linux, hasta que yo y/o alguien haga un parche si puedes hacer algo.
votos: 2, karma: 9
por Escipion el 23-11-2008 20:14 UTC
#69 #68 Repite conmigo:

Eso pasa con todos los Sistemas Operativos por igual porque rara es la persona que sabe corregir por sí misma un fallo grave y si es algo que se pueda arreglar temporalmente con algún "truco" o algo parecido, esto también se puede hacer con window porque los "trucos" no implican modificar sustancialmente el SO, sólo son "trucos". Lo de los cuatro frikies mirando el código y corrigiendo fallos es un mito.

Coro (que no chorus):

Eso pasa con todos los Sistemas Operativos por igual... corazón, a ver si para corregir esto: www.hispasec.com/unaaldia/3680 a los de SuSE no les va a tocar esperar como tó el mundo a que los de SuSE lo arreglen, como pasa con windows. Si estoy equivocado dime como se solucionan esos errores entonces.

Venga, que hasta para corregir los fallos de un simple navegador (véase FF) tenemos que esperar un mes, UN MES, a que los desarrolladores corrijan los fallos porque nadie, salvo ellos, lo hace.

Así que, anda, repite, repite.
votos: 6, karma: 12
por kadmon el 23-11-2008 20:47 UTC
#70 #65 me referia a tipos de SISTEMAS. Sabes que es eso?. Ah vale. En el trabajo aun trabajamos con Aix y con OS/400....
votos: 0, karma: 6
por lluevert el 23-11-2008 21:05 UTC
#71 #69 El 40% del código de Mozilla no es escrito por empleados suyos.

Our community remains healthy and vibrant. The percentage of code contributed to Firefox by people not employed by Mozilla remained steady at about 40% of the product we ship. This is true despite a significant amount of new employees in 2007. Our geographic expansion is powered by active and committed volunteers, from the localizers to Spread Firefox participants to others who introduce Firefox to new people.
blog.lizardwrangler.com/2008/11/19/sustainability-in-uncertain-times/
votos: 2, karma: 23
por rodz el 23-11-2008 21:16 UTC
#72 ¿Y nadie ha votado esto como cansino, irrelevante y amarillista? Porque es las 3 cosas. Y ni que decir de los comentarios. Cansinos, repetidos, duplicados, amarillistas,...

Menos mal que todavía comenta gente con un mínimo de conocimiento.
votos: 1, karma: 12
por gvisoc el 23-11-2008 21:22 UTC
#73 #69 "Lo de los cuatro frikies mirando el código y corrigiendo fallos es un mito."

Aparte de lo que dice #71, incluso en algún proyecto mío compartido en foros especializados, ha habido quien se ha intersado en mi código y me ha enviado sus versiones de mis programas. Y eso va a más en proyectos mayores, dependiendo claro de qué tipo de proyecto. Así que de mito, nanai.

Por cierto, nota tiquismiquis offtopic: freakies o frikis.

#72 Es cierto que en los comentarios hay mucha morralla, eso pasa aquí y pasa en todas partes. Pero ¿por qué cuando alguien no está de acuerdo con la opinión general se le califica como alguien "sin un mínimo de conocimiento"?
votos: 1, karma: 14
por theosk el 23-11-2008 21:30 UTC
#74 Buaahh esto ya aburre... El Windows vs Linux esta ya muy explotado. Que cada cual use lo que quiera y mejor le venga.

La seguridad depende mas del usuario que del sistema. Un buen usuario puede manter un XP mas seguro que un usuario con un FreeBSD sin tener ni idea.

Y mira que BSD es seguro.
votos: 1, karma: 14
por ahs8551 el 23-11-2008 23:11 UTC
#75 El fallo pasa en las mejores familias, en todas... pero eso de tener que esperar al SP para que se arregle, si que es una putada.

Claro que en ese caso el problema no es de windows, es de microsoft.
votos: 0, karma: 7
por deabru el 23-11-2008 23:33 UTC
#76 muchos fallos y casi todos seguimos con Windows.....
votos: 0, karma: 6
por collins el 24-11-2008 00:07 UTC
#77 "Descubierto fallo grave en el núcleo de Windows Vista"

¿Dónde está la noticia? xD
votos: 0, karma: 6
por mipisha el 24-11-2008 00:42 UTC
#78 #15 go to #12

Yo uso DOS, y a mi eso no me pasa.
votos: 0, karma: 6
por --84693-- el 24-11-2008 01:06 UTC
#79 Info en español:
www.softhoy.com/windows/vista/nueva-vulnerabilidad-de-windows-vista.ht4
votos: 1, karma: 26
por Moe_22 el 24-11-2008 01:34 UTC
#80 Con razón Bill Gates se salió de Microsoft, sabia que ya no le quedaba futuro despues de WinXP... =P
votos: 0, karma: 6
por constantino el 24-11-2008 04:35 UTC
#81 #71 ¿Y aún así tenemos que esperar un mes (como con microsoft) a que resuelvan un bug en un programa? de poco sirven eses frikies entonces.

#73 Si, proyectos tuyos... ¿de cuantas líneas, 10millones?. Lo de que en proyectos grandes lo sabes... ¿cómo?. Es igual, no interesa, vamos a la práctica ¿donde están cuando se necesitan?: www.hispasec.com/unaaldia/3680

Te apuesto un gallifante a que tendremos que esperar un rato a que los de SuSE arreglen todos esos fallos. Vamos, como con windows.

Lo de tener que esperar al SP me sorprende, al fin y al cabo el sp es un conjunto de parches. Microsoft, cuando el fallo es crítico, publica el parche nada más tenerlo sin esperar tan siquiera al segundo martes de mes.

Pero si leemos a #58 y vemos lo de que hace falta ejecutar un programa como adminsitrador para provocar el buffer overflow ¿que demoninios de "fallo grave" es este?, si yo logro ejecutar un programa con privilegios de administrador lo último que me interesaría sería explotar este bug, con privilegios de administrador puedo hacer lo que me venga en gana así que me cargo algo importante del SO y santas pascuas. Así que ¿fallo grave?, pf... .

Unterleitner pointed out that administrative rights were needed to execute a program calling the function that would cause the buffer overflow. However, he also said it was possible--but not yet confirmed--that someone could use a malformed DCHP packet to "take advantage of the exploit without administrative rights."
votos: 1, karma: 1
por kadmon el 24-11-2008 09:45 UTC
#82 » ver comentario
por --49911-- el 24-11-2008 11:05 UTC
#83 #82 Es verdad, tienes razón y además lo pone en el título, entono el mea culpa pero vamos al grano: ¿cuanto tardaron en solucionarlo y quien lo solucionó?.

Lo solucionó el equipo de SuSE y tardó prácticamente un mes, ¡anda!, ¡como con windows! y eso que son bastantes más fallos e importantes que este.

Que, por cierto, si para explotar este fallo de windows hace falta ejecutar un programa como administrador apaga y vámonos porque lo importante es lograr ejecutar algo como administrador, a partir de ahí haces lo que quieres.

A este paso si logras convencer a alguien de que escriba format c: lo tendremos que considerar también "grave fallo de seguridad".

Lo de SuSE es un ejemplo, sin más.

Por cierto, offtopic: ¿alguno de vosotros tuvo problemas con telefónica esta mañana?, parece que hubo una avería que me tocó sufrir :S
votos: 1, karma: 1
por kadmon el 24-11-2008 13:56 UTC
#84 » ver comentario
por --105940-- el 24-11-2008 15:08 UTC
#85 » ver comentario
por --49911-- el 24-11-2008 17:40 UTC
#86 #85 me puedes decir un error en el que Microsoft tardara un mes en solucionarlo?

No, no me da por apuntar los errores de Microsoft, ya ves... a todo más te digo que cada mes sacan parches para solucionar eses errores.

No obstante sí solucionan bugs en ese tiempo, lo sé porque aunque no recuerde los bugs si recuerdo que algunos se solucionaron en ese intervalo de 30 días, entre martes y martes de mes. Por lo demás, simplemente no los sigo, tengo otras aficiones.

Cuando no antes: los fallos críticos no esperan y se publica el parche en el momento en que está listo, al menos recuerdo uno que salió en menos de 30 días.

Los demás, cuando ya dije, no tengo la "afición" de llevar la cuenta.

De cualquier manera tu pregunta es estúpida: solo por estadística es imposible que alguno no fuese corregido en treinta días XD XD

Ademas me puedes decir si Microsoft también soluciona los bugs de terceros?

Sin comentarios, pregunta estúpida del año por dos motivos:

Primero, Microsoft es una empresa "con ánimo de lucro", por así decirlo, así que mira por si y solo por si mismo, si ayudó a alguien es porque le convenía.

Segundo: ¿tú no crees que los errores de Apache2, Flash-player, MySQL... fueron corregidos por la gente de Apache2, Flash-player y MySQL respectivamente y los de SuSE se encargaron de los fallos que les pertenecía?, que esto no quita que SuSE ayude a los demás.

Te pongo algunos ejemplos del mismo enlace de suse:

Oh no, no puedo ponértelo pq la mayoría son bugs de terceros.

¿ah no?, dime, estimado amigo ¿qué programa se encarga del sistema de archivos, ¿amule?, ¿pidgin? o quizás el buscaminas (versión linux)?

Vuelve a leer, anda, que yo te ayudo a empezar: www.securityfocus.com/bid/31567

Hay al menos once o doce que afectan al kernel y eso si es SuSE no un programa de terceros. Curiosamente están debajo del título: Kernel - bigsmp
votos: 1, karma: 1
por kadmon el 24-11-2008 19:01 UTC
#87 » ver comentario
por --49911-- el 24-11-2008 20:39 UTC
#88 #87 Claro, porque no podían sacar parches para eses bugs y luego, en cuanto estuviesen los otros, sacarlos también... Y peor te lo pones: ante unos bugs importantes, en vez de sacar cuanto antes los parches, incluso con ellos ya listos, se ponen a esperar a que los demás terminen y mientras pues los bugs siguen ahí, qué mas da... esto no lo hace ni Microsoft eh (¿o sí?, tampoco me extrañaría).

Y yo no dije que dependiesen de apache, etc. sino que cada uno arreglaría los suyos pero las actualizaciones se pueden sacar por separado eh, que no es tan difícil.

Claro que no se puede comparar, hablamos de tropecientos bugs frente a uno XD . Pero este no es el caso, lo que pretendía decir es que en todas partes cuecen habas.

No hace falta que me contestes, tampoco tengo tantas ganas de ganar, es el mismo rollo de siempre ¿o no?.

Por cierto, sin acritud y ya sé que no viene a cuento pero estuve se escribe con uve, no con be.

P.D: tampoco te tomes las otras noticias tan en serio que en el fondo estamos aquí para pasar el rato y divertirnos, nada más.
votos: 0, karma: 8
por kadmon el 24-11-2008 20:55 UTC
#89 pues si encontráis una actualización porque aparece un link para descargarla.

Los sistemas operativos es imposible hacerlos perfectos, hasta a XP se le encuentran hoy en dia vulnerabilidades.Y a los linux no se las encuentran porque como casi nadie lo tiene a nadie le interesa, si toda la gente lo usara y la gente buscara, linux sería una coladera de bugs y demás.Asique menos hablar de windows
votos: 1, karma: 0
por madridsergio el 25-11-2008 10:51 UTC
#90 #86: puedes intentar argumentarlo como quieras, pero la realidad es que en un sistema operativo abierto, donde la gente puede ver el código, no sólo los 'freakies' arreglan fallos, sino quew incluso...¡los encuentran! ¡válgame dios! ¡trabajar GRATIS! :-DDDD

El código abierto favorece no solo la resolución más rápida de errores (que ahí y hablando de problemas específicos, puede variar, que ya sabemos que si Microsoft ve peligrar el dinerito, corre que se las pela :-) ), sino la comprensión y el alcance de los errores y facilita el que la gente idee "soluciones temporales" (también conocidas como 'chapucillas'). Adicionalmente, el hecho de que el sistema sea modular favorece que si, pro ejemplo, se encuentra un módulo de seguridad con un fallo grave, se pueda sustituir por otro compatible con menos problemas...

La seguridad basada en el secreto, a largo plazo, es ineficiente. Y es uno de los principales mecanismos de seguridad de windows. Linux, al ser de código abierto, ni puede ni debe depender de estos sistemas, con lo que a la larga, el sistema es más robusto
votos: 0, karma: 7
por enderwiggins el 25-11-2008 13:52 UTC
#91 #44:no me refería a nivel de servidior; a nivel de usuario, hoy por hoy, me temo que los que utilizamos linux somos una minoría. El software, a medida que gana usuarios, gana también en reportes de problemas, más que nada porque es prácticamente imposible tener en cuenta todos los posibles casos. Y lo que comentaba; hoy por hoy, para el delincuente informático medio, el usuario de linux no es atractivo; primero, porque no es rentable intentar aprovechar una vulnerabilidad para un porcentaje tan pequeño de usuarios; segundo, porque usualmente el nivel de un usuario de linux es menos proclive a caer en engaños fáciles (= algo de educación sobre seguridad y sobre software tienes si tienes un linux). Y por supuesto, porque es un sistema más robusto, porque por defecto no ejecutas con derechos de root, ... hay bastantes razones. Pero hoy por hoy, mandando el dinero como manda, los usuarios de linux, a excepción de las estafas genéricas (mail, vulnerabilidades en navegadores,...) no es nada atractivo en sí.
votos: 0, karma: 7
por enderwiggins el 25-11-2008 13:58 UTC
#92 #90 ¿tú eres de los que creen que los fallos se descubren a base de leer líneas de código no?.

Bueno, yo lo dejo aquí, estas discusiones están ya más que escritas y no vale la pena repetirnos.
votos: 0, karma: 8
por kadmon el 25-11-2008 17:57 UTC