La semana pasada saltaba la alarma en Redmon cuando su último sistema operativo, Windows 7 (que saldrá a la venta el próximo octubre) parecía ser vulnerable, aunque luego se ha escubieto que solo las versiones Beta y RC lo son.
Mientras pasaban los días muchos nos preguntábamos como es posible que el RTM no fuera vulnerable y la respuesta fue obvia: Microsoft lo encontró y lo reparó, pero como?
Según los de Redmon utilizaron lo que se llama Fuzz testing, que no son mas que técnicas sencillas para encontrar fallos básicos de programación, que se aplican mediante una aplicación.
Ahora el que descubrió el fallo está siendo atacado por gente anónima (pero no tanto, como el sabe) por revelar el fallo, pero su respuesta ha sido clara y contundente:
Fuente
Hey not so "Anonymous",
Regarding my disclosure with MS, that's my choice, and i still think that on this specific case it was a good idea you'll see why.
However concerning the typo, i send the advisory (only to advise them) to microssoft.com , shit happens.
Full-Disclosure is usefull in such case because:
Anyone (including MS) who would have tested this critical component would have found this bug in a matter of seconds.
It showed this specific bug (my payload) was introduced by a security patch (MS07-063), showing us no S.Q.A and security testing
as been done on it before shipping it on any P.C
Even worse; an official Microsoft spokeman told Robert Lemos :
"We found this issue independently through our fuzzing processes and implemented the fix into Windows 7 RTM (release to manufacturer)
and Windows Server 2008 R2," see: technologyreview.com/blog/unsafebits/24105/?a=fThis mean, they knew about this issue but failed at protecting them customers.
Now that i published the remote teardrop advisory, they use the word "irresponsible disclosure" while patching on emergency what they
knew since a long time.
This is a serious error, as the bug was very easy to find, it was only a matter of time before someone disclose it...
Intento de traducción correcta:
Con relación a la revelación del fallo, esa es mi decisión, y continuo pensando que en este caso especifico fue buena idea y veras por qué.
Dejando aparte el error en la comunicación del fallo, yo envié el aviso a microsoft.com (solo para avisarles), pero aveces las cosas fallan.
La revelación completa del fallo en este caso es útil porque:
Cualquiera (incluso Microsoft) que hubiera puesto a prueba este componente crítico hubiera encontrado el fallo en cuestión de segundos.
Al ponerlo a prueba, se mostró que fue introducido por un parche de seguridad (MS07-063), mostrándonos que no hubo ningún test de seguridad ni de calidad S.Q.A antes de permitir la descarga.
Incluso peor; Un portavoz de Microsoft ha contado a Robert Lemos:
Nosotros encontramos este fallo por nuestra cuenta a través del "Fuzzing Test", y implementamos una corrección para el RTM y el Windows 2008 Server R2 Mira: technologyreview.com/blog/unsafebits/24105/?a=f
Esto quiere decir, que ellos conocían el fallo pero han fallado a la hora de proteger a sus clientes.
Ahora que he publicado el fallo, ellos hablan de "revelación irresponsable" mientras crean un parche para un fallo que sabían que existía desde hacia mucho tiempo.
Esto es un fallo grave, al igual que era un fallo fácil de encontrar, y solo era cuestión de tiempo que alguien lo revelara...
Mis productos Microsoft totalmente originales y tres de ellos son vulnerables a sabiendas:
01 x Visual Studio 2005 Professional
03 x Windows Vista Business
10 x Windows XP
Ahora como cliente de Microsoft y programador no se que pensar. ¿hay que pedir responsabilidades o explicaciones?
Los Sistemas vulnerables, son:
Microsoft Windows Vista x64 Edition SP2
Microsoft Windows Vista x64 Edition SP1
Microsoft Windows Vista x64 Edition 0
Microsoft Windows Vista Ultimate 64-bit edition SP2
Microsoft Windows Vista Ultimate 64-bit edition SP1
Microsoft Windows Vista Ultimate 64-bit edition 0
Microsoft Windows Vista Home Premium 64-bit edition SP2
Microsoft Windows Vista Home Premium 64-bit edition SP1
Microsoft Windows Vista Home Premium 64-bit edition 0
Microsoft Windows Vista Home Basic 64-bit edition SP2
Microsoft Windows Vista Home Basic 64-bit edition SP1
Microsoft Windows Vista Home Basic 64-bit edition 0
Microsoft Windows Vista Enterprise 64-bit edition SP2
Microsoft Windows Vista Enterprise 64-bit edition SP1
Microsoft Windows Vista Enterprise 64-bit edition 0
Microsoft Windows Vista Business 64-bit edition SP2
Microsoft Windows Vista Business 64-bit edition SP1
Microsoft Windows Vista Business 64-bit edition 0
Microsoft Windows Vista Ultimate SP2
Microsoft Windows Vista Ultimate SP1
Microsoft Windows Vista Ultimate
Microsoft Windows Vista Home Premium SP2
Microsoft Windows Vista Home Premium SP1
Microsoft Windows Vista Home Premium
Microsoft Windows Vista Home Basic SP2
Microsoft Windows Vista Home Basic SP1
Microsoft Windows Vista Home Basic
Microsoft Windows Vista Enterprise SP2
Microsoft Windows Vista Enterprise SP1
Microsoft Windows Vista Enterprise
Microsoft Windows Vista Business SP2
Microsoft Windows Vista Business SP1
Microsoft Windows Vista Business
Microsoft Windows Server 2008 Standard Edition SP2
Microsoft Windows Server 2008 Standard Edition 0
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems 0
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for Itanium-based Systems 0
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2008 for 32-bit Systems 0
Microsoft Windows Server 2008 Enterprise Edition SP2
Microsoft Windows Server 2008 Enterprise Edition 0
Microsoft Windows Server 2008 Datacenter Edition SP2
Microsoft Windows Server 2008 Datacenter Edition 0
Microsoft Windows 7 RC
Microsoft Windows 7 beta
PD: Si este no es el lugar para preguntar esto pido disculpas.