Menéame: comentarios [445634] http://www.meneame.net www.meneame.nethttp://www.meneame.nethttp://cdn.mnmstatic.net/img/mnm/eli-rss.png Sitio colaborativo de publicación y comunicación entre blogs Tue, 12 Aug 2008 00:10:54 +0000 http://blog.meneame.net/ es 2465643 445634 9 rubenov 0 6 https://www.meneame.net/story/seguridad-vista-completamente-inutil-ante-nuevo-exploit-eng #9 La seguridad de Vista completamente inútil ante un nuevo exploit [ENG] https://www.meneame.net/story/seguridad-vista-completamente-inutil-ante-nuevo-exploit-eng/c09#c-9 Tue, 12 Aug 2008 00:10:54 +0000 rubenov https://www.meneame.net/story/seguridad-vista-completamente-inutil-ante-nuevo-exploit-eng/c09#c-9 #8 Si es amarillista porque aunque se salten DEP y ASLR no quiere decir que "La seguridad de Vista completamente inútil". Porque que me dices de UAC y el modo protegido de IE7.

Aquí explican bien el asunto:

arstechnica.com/news.ars/post/20080811-the-sky-isnt-falling-a-look-at-

Copio y pego:

"Even with the attacks described in the paper, Vista has many worthwhile security improvements compared to XP. Internet Explorer on Vista runs in a highly restricted environment, so that even when it is running malicious code it cannot harm the system."

» autor: rubenov

]]> 2458399 445634 8 --86917-- 1 14 https://www.meneame.net/story/seguridad-vista-completamente-inutil-ante-nuevo-exploit-eng #8 La seguridad de Vista completamente inútil ante un nuevo exploit [ENG] https://www.meneame.net/story/seguridad-vista-completamente-inutil-ante-nuevo-exploit-eng/c08#c-8 Sun, 10 Aug 2008 17:03:15 +0000 --86917-- https://www.meneame.net/story/seguridad-vista-completamente-inutil-ante-nuevo-exploit-eng/c08#c-8 Bueno, leyendo un artículo no tan amarillista (searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1324395,0) lo que ocurre es lo siguiente, básicamente:
Microsoft tiene como una decisión de diseño confiar al 100% en código creado usando el framework .NET. La prueba que han realizado ha sido el uso de una mezcla de Java, controles ActiveX y objetos hechos en .NET permitiendo cargar contenido aleatorio en navegadores web. Han podido saltarse el DEP y el ASLR (tecnologías que están incluidas también, al menos el DEP, en Windows XP con Service Pack 2 o posterior). Se han aprovechado de la forma en que los navegadores (particularmente Internet Explorer) cargan objetos .NET y demás para poder meter el contenido que ellos quieran, donde quieran y con los permisos que quieran.

Y todo esto es debido a la suposición de que cualquier código .NET es fiable. Y puesto que al final del artículo, se menciona lo siguiente:

Dai Zovi stressed that the techniques Dowd and Sotirov use do not rely on specific vulnerabilities. As a result, he said, there may soon be similar techniques applied to other platforms or environments.

pues tenemos que esta vulnerabilidad es potencialmente aplicable a cualquier plataforma que tenga .NET instalado, y eso incluye (pienso yo) a todos los Windows posteriores a XP, y al XP mismo en caso de que el framework esté también en el sistema, cosa muy probable hoy día puesto que un porrón de aplicaciones (incluidos los juegos) piden el .NET.

Supongo que lo de saltarse el ASLR y el DEP es normal, puesto que si la aplicación .NET, aunque maliciosa, es considerada como software de confianza... pues tira millas.

» autor: --86917--

]]> 2457945 445634 7 --86131-- 1 31 https://www.meneame.net/story/seguridad-vista-completamente-inutil-ante-nuevo-exploit-eng #7 La seguridad de Vista completamente inútil ante un nuevo exploit [ENG] https://www.meneame.net/story/seguridad-vista-completamente-inutil-ante-nuevo-exploit-eng/c07#c-7 Sun, 10 Aug 2008 14:56:55 +0000 --86131-- https://www.meneame.net/story/seguridad-vista-completamente-inutil-ante-nuevo-exploit-eng/c07#c-7 [Usuario deshabilitado]

» autor: --86131--

]]> 2457694 445634 6 --13330-- 1 31 https://www.meneame.net/story/seguridad-vista-completamente-inutil-ante-nuevo-exploit-eng #6 La seguridad de Vista completamente inútil ante un nuevo exploit [ENG] https://www.meneame.net/story/seguridad-vista-completamente-inutil-ante-nuevo-exploit-eng/c06#c-6 Sun, 10 Aug 2008 13:41:19 +0000 --13330-- https://www.meneame.net/story/seguridad-vista-completamente-inutil-ante-nuevo-exploit-eng/c06#c-6 #1 , todo esto esta hecho aposta, para que sus amiguitas las empresas fabricantes de antivirus y cortafuegos se repartan parte del pastel, ¿por que os pensais que los antivirus online funcionan con controles active x?

» autor: --13330--

]]> 2456500 445634 5 Guillermo 1 24 https://www.meneame.net/story/seguridad-vista-completamente-inutil-ante-nuevo-exploit-eng #5 La seguridad de Vista completamente inútil ante un nuevo exploit [ENG] https://www.meneame.net/story/seguridad-vista-completamente-inutil-ante-nuevo-exploit-eng/c05#c-5 Sun, 10 Aug 2008 05:24:32 +0000 Guillermo https://www.meneame.net/story/seguridad-vista-completamente-inutil-ante-nuevo-exploit-eng/c05#c-5 Tremendo "bug".

Un resumen muy bueno y en español: www.kriptopolis.org/la-puntilla-para-vista

» autor: Guillermo

]]> 2455577 445634 4 --92089-- 0 6 https://www.meneame.net/story/seguridad-vista-completamente-inutil-ante-nuevo-exploit-eng #4 La seguridad de Vista completamente inútil ante un nuevo exploit [ENG] https://www.meneame.net/story/seguridad-vista-completamente-inutil-ante-nuevo-exploit-eng/c04#c-4 Sat, 09 Aug 2008 20:25:48 +0000 --92089-- https://www.meneame.net/story/seguridad-vista-completamente-inutil-ante-nuevo-exploit-eng/c04#c-4 Suele pasar que cuando te crees mas listo que todos los demás, acabas cometiendo un error que te deja en evidencia... Si fuese codigo abierto, junto al problema hubiesen presentado la solución.

» autor: --92089--

]]> 2451063 445634 3 MarvinMarciano 1 14 https://www.meneame.net/story/seguridad-vista-completamente-inutil-ante-nuevo-exploit-eng #3 La seguridad de Vista completamente inútil ante un nuevo exploit [ENG] https://www.meneame.net/story/seguridad-vista-completamente-inutil-ante-nuevo-exploit-eng/c03#c-3 Fri, 08 Aug 2008 16:59:47 +0000 MarvinMarciano https://www.meneame.net/story/seguridad-vista-completamente-inutil-ante-nuevo-exploit-eng/c03#c-3 ¿Y van?

Lo mejor del Vista es que ya está haciendo bueno a su sucesor de Microsoft, el W7, antes siquiera de que sea programado.

» autor: MarvinMarciano

]]> 2450673 445634 2 --78487-- 0 6 https://www.meneame.net/story/seguridad-vista-completamente-inutil-ante-nuevo-exploit-eng #2 La seguridad de Vista completamente inútil ante un nuevo exploit [ENG] https://www.meneame.net/story/seguridad-vista-completamente-inutil-ante-nuevo-exploit-eng/c02#c-2 Fri, 08 Aug 2008 15:54:51 +0000 --78487-- https://www.meneame.net/story/seguridad-vista-completamente-inutil-ante-nuevo-exploit-eng/c02#c-2 [Usuario deshabilitado]

» autor: --78487--

]]> 2450646 445634 1 lamassa 0 7 https://www.meneame.net/story/seguridad-vista-completamente-inutil-ante-nuevo-exploit-eng #1 La seguridad de Vista completamente inútil ante un nuevo exploit [ENG] https://www.meneame.net/story/seguridad-vista-completamente-inutil-ante-nuevo-exploit-eng/c01#c-1 Fri, 08 Aug 2008 15:50:47 +0000 lamassa https://www.meneame.net/story/seguridad-vista-completamente-inutil-ante-nuevo-exploit-eng/c01#c-1 No sé si votarla cansina, o repetida, o es que simplemente windows vista es un colador... Vista es una vergüenza

» autor: lamassa

]]>