gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
WMF Bug
Contribuído por scorpio em 02-01-06 23:56
do departamento mais-uma-volta,-mais-uma-viagem...
Bug jig escreve "Foi descoberta uma vulnerabilidade no windows que permite a execução de código embebido em imagens.
Já existem worms a circular pelo MSN, email e páginas da net.A situação foi classificada como muito grave pelo SANS e existe apenas um patch não oficial disponível em página Este bug afecta os windows desde o 3.0 até à ultima versão.
Mais informações em: página Vamos ver no que isto vai dar.... "

Um bom fim de ano para os Slackers com kanguru | Site de "Plano Tecnológico" remodelado  >

 

gildot Login
Login:

Password:

Referências
  • página
  • página
  • Mais acerca Bug
  • Também por scorpio
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    código em imagens.. essa é boa O_o (Pontos:1)
    por jamaica em 03-01-06 14:23 GMT (#1)
    (Utilizador Info) http://forum.bandalarga.org/
    boa política da microsoft...


    Microsoft Windows Metafile (WMF) format images are graphical files that can contain both vector and bitmap-based picture information. WMF files contain a sequence of GDI function calls. e ainda


    Current public exploits use the SETABORTPROC GDI Escape function to execute arbitrary code when viewed. The SETABORTPROC GDI Escape is obsolete, and is provided only for compatibility with 16-bit versions of Windows. Other GDI functions may also be exploitable. neat /o/
    ---------------------
    O Cherne fugiu, mas o Imperador nomeou o Carapau de Corrida, que vai trazer as Chaputas todas

    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por mrmv em 03-01-06 17:38 GMT (#2)
    (Utilizador Info) http://spaces.msn.com/members/shadeofwindows
    Não vale a pena stressar, se a conta a utilizar não possuir grandes previlégios no referido sistema os problemas que daí poderão advir não serão concerteza grandes.

    Eu não fiz unregister de componente nenhum e ainda não tive problema algum, e no dia 10 se calhar algum update será instalado automaticamente no meu sistema, enfim não vale a pena exagerar, a natureza do problema não é a mesma de outros que efectivamente tiveram uma escala planetária.

    My son is now an "entrepreneur." That's what you're called when you don't have a job.
    Ted Turner
    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por null em 03-01-06 18:08 GMT (#3)
    (Utilizador Info)
    Eu gostava de saber o que tu dirias se este problemazinho não viesse a público...
    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por mrmv em 04-01-06 0:30 GMT (#10)
    (Utilizador Info) http://spaces.msn.com/members/shadeofwindows
    O problema da segurança é um problema da indústria, felizmente existe uma comunidade de investigadores que de forma responsável trabalham com os fabricantes, muita coisa tem melhorado, e vai continuar seguramente a melhorar, mais informação, maior previsibilidade, melhores processos, utilizadores melhor preparados para muitas das actuais ameaças, o risco faz parte da nossa vida... desde que se perceba o que está em causa... continuo a não stressar ;o)


    My son is now an "entrepreneur." That's what you're called when you don't have a job.
    Ted Turner
    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por null em 04-01-06 18:00 GMT (#23)
    (Utilizador Info)
    os fabricantes tão habituados há chucha grates e pelos vistos tu também...
    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por mrmv em 04-01-06 18:23 GMT (#24)
    (Utilizador Info) http://spaces.msn.com/members/shadeofwindows
    Parece-te grates, mas como sabes não é bem assim, nada é grates... os fabricantes não podem depender da existência deles (até porque podem sempre contratá-los), mas o FACTO é que eles são tipicamente isentos e uma boa ajuda para todos, fabricantes e consumidores...

    My son is now an "entrepreneur." That's what you're called when you don't have a job.
    Ted Turner
    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por null em 05-01-06 9:39 GMT (#49)
    (Utilizador Info)
    Alguns fabricantes já têm programas nos quais pagam o trabalho que outros fabricantes esperam que lhes proporcionem a custo zero. É como o Toni, o que é teu é meu...
    Re:código em imagens.. essa é boa O_o (Pontos:0)
    por tonidosimpostos em 05-01-06 0:28 GMT (#34)
    (Utilizador Info)
    Os problemas de linux e outras programas que não chegam ao público são tantos, que gostava de saber qual é a tua opinião sobre isso... Espero que seja a mesma que neste caso =)

    "The surprising part about finding this flaw in Wine is that they implemented the entire Meta File API without realizing that this could be a security issue
    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por null em 05-01-06 9:31 GMT (#48)
    (Utilizador Info)
    A minha opinião sobre isso? Bem, não encontro em lado nenhum um press-release para repetir aqui no Gildot.
    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por Lowgitek em 05-01-06 13:31 GMT (#60)
    (Utilizador Info)
    Zlib? Libtiff? anyone??

    A parte engraçada é...

    http://www.informationweek.com/story/showArticle.jhtml?articleID=175801215&cid=RSSfeed_IWK _news

    http://www.us-cert.gov/cas/bulletins/SB2005.html

    Pois...


    Ao Orgulho segue-se a ruína, e a arrogância vem antes da queda (Prov. 16:18)
    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por null em 05-01-06 15:16 GMT (#61)
    (Utilizador Info)
    Ironia meu caro, ironia. Juntar todos os unixes e derivados é estúpido mas enche o olho não é verdade? Eu li o buletim do us-cert mas não o artigo do informationweek. No artigo é referido que não é listado este último exploit do windows?
    pois pois (Pontos:2)
    por CrLf em 03-01-06 19:27 GMT (#4)
    (Utilizador Info) http://tudo-sobre-nada.blogspot.com
    Ou, por outras palavras: "There are no American infidels in Baghdad." E se eles vierem... "We will welcome them with bullets and shoes!"

    --
    Carlos Rodrigues
    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por CrLf em 03-01-06 19:32 GMT (#5)
    (Utilizador Info) http://tudo-sobre-nada.blogspot.com
    Já agora, vai ler a FAQ do SANS e estou certo que vais mudar de ideias. Basta um utilizador com privilégios de administrador ir a uma pasta com um ficheiro afectado (gerar o thumbnail é suficiente para que o exploit tenha sucesso), ou ser indexado por algum software a correr com direitos de administrador. Qualquer coisa que tente abrir a imagem para qualquer fim, usando aquela DLL é um vector de entrada.

    --
    Carlos Rodrigues
    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por francisg em 03-01-06 19:49 GMT (#6)
    (Utilizador Info)
    ou como o pessoal da F-Secure exemplificou, basta ter o google desktop a correr...

    outra coisa gira, sabiam que o Lotus Notes usa esta lib ? sabiam que não dá pra fazer unregister ao rapaz? há varios procs no formato que são utilizaveis, inclusive alguns já começam a ser utilizados on-the-wild (não em spyware, though).

    sabem quem usa lotus notes em Portugal?

    pois.

    solução? isto assemelha-se mais a uma backdoor do que outra coisa...não há buffer overflow nenhum, não há race condition, como diz o outro: it's a feature, not a bug.

    pois.


    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por hav0x em 03-01-06 21:40 GMT (#7)
    (Utilizador Info)
    Até pq só uma baixa percentagem de utilizadores de Windows pasta a franga por essas internetes com a conta de administrador de sistema.
    Tá a chover lá fora.
    Feliz 2006.

    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por thx1011 em 03-01-06 22:17 GMT (#8)
    (Utilizador Info)
    [TROLL] Epá, onde estão os comentários "esclarecedores" do Tonidosimpostos?

    Não tem opinião acerca disto? Estou curioso...

    A minha opinião já agora, é que qualquer sistema que esteja ligado, é vunerável... :-) (Opinião básica diga-se de passagem...)
    --------------------- Thx1011

    99% dos ratos de laboratório morrem de causas não naturais.

    Re:código em imagens.. essa é boa O_o (Pontos:0)
    por tonidosimpostos em 05-01-06 0:23 GMT (#31)
    (Utilizador Info)
    Esclarecedor de que tipo ? Que és um asno e não o sabes ?

    Ou esclarecedor do tipo que é uma feature, desenhada há 15 anos, onde a Internet nos moldes actuais era uma miragem ?

    Quanto à minha opinião, isto nao me surpreende nada, porque a coisa começou nos meandros underground com interesse monetário à mistura. Onde há dinheiro, há incentivo e portanto podes meter o que quiseres como sistema operativo, que se existir incentivo a dar cabo dele, será feito. Ou julgas que não circulam exploits underground para mt coisa do linux e afins associadas a muito dinheiro ?



    "The surprising part about finding this flaw in Wine is that they implemented the entire Meta File API without realizing that this could be a security issue

    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por Zarluk em 05-01-06 1:15 GMT (#35)
    (Utilizador Info) http://o-caos-avassalador.blogspot.com/
    Ou julgas que não circulam exploits underground para mt coisa do linux e afins associadas a muito dinheiro ?

    Claro que circulam... mas qual a sua eficácia? Ainda este fim-de -semana levei com uma máquina de uma empresa japonesa a tentar entrar no sistema a um ritmo de uma tentativa por minuto.

    Finalmente, na segunda-feira, o administrador da rede deve ter reparado que uma das suas máquinas estava com 'gripe' e deve ter resolvido o assunto (provavelmente, reinstalando o sistema, como é recomendado pela aquela empresa que faz sistemas operativos que toda a gente usa). Achas que me preocupei muito com o assunto?

    A máquina em questão só tinha o porto 22 aberto e tinha a autenticação por password desactivada. Quem é que achas que ficou mais preocupado? eu (o alvo do ataque) ou o admin da rede donde veio o ataque?

    Só para terminar: creio que, tal como costumas dizer, se tratava de um problema que seria da responsabilidade do sysadmin e derivado da falta de cuidado (ou formação) do administrador e do utilizador. É por isso que evito tocar nessas coisas... é preciso ser um ser de uma inteligência muito superior à minha para conseguir manter essas 'coisas' seguras. Já tentei perservativos, anti-vírus e, até, cintos de castidade, mas descobri que é muito mais fácil garantir a segurança a partir de um sistema *nix (Linux, BSD, Solaris, whatever)


    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por mrmv em 05-01-06 1:34 GMT (#37)
    (Utilizador Info) http://spaces.msn.com/members/shadeofwindows
    mas descobri que é muito mais fácil garantir a segurança a partir de um sistema *nix

    E pelos vistos para quem não tem interesse e vontade para aprender parece que vai cotninuar a ser dificil... tsss, tsss, temos pena
    My son is now an "entrepreneur." That's what you're called when you don't have a job.
    Ted Turner
    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por Zarluk em 05-01-06 2:34 GMT (#41)
    (Utilizador Info) http://o-caos-avassalador.blogspot.com/

    OK! Quando tiver tempo vou fazer as coisas da maneira mais difícil e dispendiosa só pelo prazer do desafio ;-)

    Dava mais gozo quando andava a tentar meter um compilador de C dentro do Spectrum 48K. Pelo menos, nessa altura tinha tempo para brincar.


    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por mrmv em 05-01-06 13:15 GMT (#57)
    (Utilizador Info) http://spaces.msn.com/members/shadeofwindows
    Consegues perceber que a tua experiênica pode não ser a mesma de outros, no que diz respeito ao dificil e dispendioso? Se conseguires já é um bom principio...

    My son is now an "entrepreneur." That's what you're called when you don't have a job.
    Ted Turner
    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por null em 05-01-06 13:11 GMT (#56)
    (Utilizador Info)
    Deixa lá, o Toni guarda os Cisco e o IOS com uma Uzi :-)
    Re:código em imagens.. essa é boa O_o (Pontos:0)
    por tonidosimpostos em 05-01-06 22:25 GMT (#68)
    (Utilizador Info)
    Qual a sua eficácia ? Ou és parvo ou es burro !

    Por exemplo, a exploit do sys epoll wait, deu para rootar muita máquina, até que o Guninski a trouxe a público. Claro que a eficácia era muito reduzida... Claro que muitas outras exploits, a eficácia era mt reduzida... Yeah... right...

    Claro que nao te preocupaste com o assunto. Es um super 3r33t administrator, tens linux, só te falta ter uma pila do tamanho do Rocco, e passas a ser o Super Homem !
    Claro que teres o ssh aberto não é nenhum problema, afinal isso nunca teve problemas de segurança e o openbsd e produtos derivados são uber 3r33t... weeeeeeeeeeeeeeeeeee. Queres emprego ???

    Claro que é mt mais fácil garantir a segurança desses sistemas... Todos os dias saem carradas de problemas para esses sistemas, no entanto tu geres dezenas de maquinas apenas assobiando, pq são todas uber 3r33t. Eu tb nao me preocupo, utilizo o Windows XP, com conta de administrator e não me preocupo muito... Se calhar, eu é que sou o super homem, e tu ainda aspiras a isso...

    "The surprising part about finding this flaw in Wine is that they implemented the entire Meta File API without realizing that this could be a security issue

    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por Zarluk em 06-01-06 22:48 GMT (#86)
    (Utilizador Info) http://o-caos-avassalador.blogspot.com/
    Por exemplo, a exploit do sys epoll wait, deu para rootar muita máquina, até que o Guninski a trouxe a público.

    Desconheço essa, mas agradecia que deixasses aqui um link. É que, apesar de burro, gosto de estar a par dessas coisas ;-)

    Claro que nao te preocupaste com o assunto. Es um super 3r33t administrator, tens linux, só te falta ter uma pila do tamanho do Rocco, e passas a ser o Super Homem ! Claro que teres o ssh aberto não é nenhum problema, afinal isso nunca teve problemas de segurança e o openbsd e produtos derivados são uber 3r33t... weeeeeeeeeeeeeeeeeee. Queres emprego ???

    Nem sou sysadmin, nem o tamanho do meu membro é para aqui chamado, nem tenho o ssh "aberto". Está apenas disponível para quem tiver uma chave válida, por isso é que não me preocupei muito com o assunto, se bem que tencione manter-me atento e, eventualmente, pedir ajuda a quem percebe mais do que eu destas coisas. E, não, não quero emprego :-)

    Quanto ao último parágrafo, só tenho a comentar que, uso (usava) Windows (entre outras 'coisas') há tanto ou mais tempo do que tu e nunca apanhei uma 'gripe'.


    Re:código em imagens.. essa é boa O_o (Pontos:0)
    por tonidosimpostos em 07-01-06 17:13 GMT (#94)
    (Utilizador Info)
    www.google.com

    Quanto ao resto, who cares... conversa de merda como de costume... No mood for that today...

    "The surprising part about finding this flaw in Wine is that they implemented the entire Meta File API without realizing that this could be a security issue

    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por mrmv em 04-01-06 1:03 GMT (#12)
    (Utilizador Info) http://spaces.msn.com/members/shadeofwindows
    Sim mas isso já não é um problema da tecnologia...
    My son is now an "entrepreneur." That's what you're called when you don't have a job.
    Ted Turner
    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por CrLf em 04-01-06 4:34 GMT (#14)
    (Utilizador Info) http://tudo-sobre-nada.blogspot.com
    É, porque é a tecnologia que favorece isto, com montes de software por aí a querer escrever em locais onde um utilizador sem privilégios não o pode fazer, ou a querer fazer coisas que só o administrador pode fazer. Além do próprio sistema incentivar ao uso de uma conta com poderes de administrador, por default.

    E se começas a usar o "Run As...", acabas no mesmo buraco. E se considerarmos que uma série de software deste género incluí o motor do IE de uma forma ou de outra, ainda mais se entende a expressão "a cadeia quebra pelo elo mais fraco".

    A própria Microsoft reconhece a existência deste problema, mas os zelotas aparentemente são piores que as avestruzes...

    --
    Carlos Rodrigues
    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por mrmv em 04-01-06 9:59 GMT (#15)
    (Utilizador Info) http://spaces.msn.com/members/shadeofwindows
    É, porque é a tecnologia que favorece isto

    A tecnologia não é desculpa hoje, a grande maioria dos problemas afvêm da má utilizaçãop da mesma.

    E se começas a usar o "Run As...", acabas no mesmo buraco

    Não acabas nada, pensa lá um bocadinho... o principal problema são as aplicações (más) incapazes de funcionar com restrições.

    Desde à muito tempo que utilizo contas sem previlégios de administração, encontras aqui e ali um ou outro problema que normalmente consegues ultrapassar, mas as vantagens são inúmeras como podes imaginar, e não ando paranoico (mas percebo que a grande maioria dos utilizadores de windows não possa dizer o mesmo, mas pelo menos nos que me são próximos a receita é a mesma e sempre com sucesso).

    My son is now an "entrepreneur." That's what you're called when you don't have a job.
    Ted Turner
    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por CrLf em 05-01-06 0:25 GMT (#32)
    (Utilizador Info) http://tudo-sobre-nada.blogspot.com
    "encontras aqui e ali um ou outro problema que normalmente consegues ultrapassar"

    Como eu te disse noutro post, não sei bem em que planeta vives. És tu e aquele tipo do Iraque.

    Já temos décadas da Microsoft a promover a conveniência de usar o sistema com todos os privilégios, e toda uma indústria de software para Windows se acomodou a esta situação.

    Não me venhas agora dizer que é mentira, porque a tua bullshit cheira-se a milhas de distância.

    --
    Carlos Rodrigues
    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por mrmv em 05-01-06 1:41 GMT (#39)
    (Utilizador Info) http://spaces.msn.com/members/shadeofwindows
    http://blogs.msdn.com/aaron_margosis/default.aspx

    É isto o que chamas de promoção?
    My son is now an "entrepreneur." That's what you're called when you don't have a job.
    Ted Turner
    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por CrLf em 05-01-06 4:09 GMT (#46)
    (Utilizador Info) http://tudo-sobre-nada.blogspot.com
    Obrigado por reforçares a minha posição. Se fosse fácil e sem problemas usar uma máquina Windows sem privilégios, não era preciso uma dúzia de HOWTOs e papers.

    Mas não vale a pena continuar esta discussão, pelo menos contigo eu sei que isto não vai dar a lado nenhum. Quando se trata da Microsoft, tu até és capaz de jurar a pés juntos que a Terra é quadrada.

    Passar bem.

    --
    Carlos Rodrigues
    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por salupa em 05-01-06 7:51 GMT (#47)
    (Utilizador Info)
    Se fosse fácil e sem problemas usar uma máquina Windows sem privilégios, não era preciso uma dúzia de HOWTOs e papers.

    E quantos howtos e papers leste para conseguir usar *nix com ou sem previlegios?
    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por CrLf em 05-01-06 17:05 GMT (#62)
    (Utilizador Info) http://tudo-sobre-nada.blogspot.com
    Linux? Sem privilégios? zero.

    Linux? Com ou sem privilégios? Muitos para umas coisas, nenhum para outras. Mas seria uma resposta de merda para uma pergunta de merda, porque eu não recomendo Linux no desktop a ninguém.

    porque no MacOS X os utilizadores não têm privilégios e não tens de ler howtos nem papers nenhuns. E, caso estejas mal informado, o MacOS X é um Unix.

    --
    Carlos Rodrigues
    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por CrLf em 05-01-06 17:06 GMT (#63)
    (Utilizador Info) http://tudo-sobre-nada.blogspot.com
    "porque no Mac" -> "E no Mac"

    --
    Carlos Rodrigues
    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por mrmv em 06-01-06 11:56 GMT (#75)
    (Utilizador Info) http://spaces.msn.com/members/shadeofwindows
    Mas os HOWTOs e Papers não são obrigatórios, mas como te tenho dito, é necessário educar os utilizadores e dar uma mensagem diferente daquela que as pessoas conheciam, de que outra forma se resolve uma questão destas? Para além de perceberes que nunca se consegue resolver isto com um estalar de dedos... Tu és tão hipócrita quando queres... Parece que uns podem fazê-lo e é muito bem feito, e os outros não podem porque fazê-lo AGORA é horrivel...

    My son is now an "entrepreneur." That's what you're called when you don't have a job.
    Ted Turner
    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por mrmv em 05-01-06 1:51 GMT (#40)
    (Utilizador Info) http://spaces.msn.com/members/shadeofwindows
    Tu és daqueles que vê o mundo a mudar mas não acredita...

    Posso voltar a colocar aqui os artigos e recursos todos sobre segurança, para perceberes o ridiculo de tal afirmação, e que já há muito tempo tais práticas são altamente desaconselhadas, mas tu preferes esconder, ou ignorar porque te dá mais jeito.

    Mas já agota toma lá apenas mais um link:

    http://msdn.microsoft.com/security/securecode/

    e vê lá o artigo com 10 recomendações e olha para a 7ª que te contradiz em toda a linha...

    Não sei afinal onde tens andado metido, mas andas de facto muito distraido.

    My son is now an "entrepreneur." That's what you're called when you don't have a job.
    Ted Turner
    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por fhc em 04-01-06 11:44 GMT (#16)
    (Utilizador Info)

    Vais-me ver pelo menos numa coisa a concordar com o mrmv: o problema é dos hábitos dos utilizadores. Numa outra coisa concordo contigo: o problema dos hábitos dos utilizadores reside desde logo na instalação dos XISPE.

    Se eu nunca tive a noção de privilégios, nada me diz para criar contas limitadas. Compara isto com os instaladores da maior parte das distribuições de Linux, cujos criam contas de utiilizador. E muitos, como o Ubuntu, nem te deixam ficar com a senha do root, deixando-te usar sudo -i para ganhar um shell quando necessitares.

    Vejo na verdade aqui o maior problema. A Microsoft fala de segurança como o Saddam Hussein de liberdade, o Bin Laden de segurança ou o Pina Moura de probidade e isenção (sim, tenho O Público à minha frente). Perto da boca, mas longe do coração.

    Para se haver um sistema operativo seguro, há que informar os utilizadores casuais acerca de segurança. Não é preciso ser-se um engenheiro informático para se ser um bom utilizador neste domínio, assim como não é preciso ser um especialista em saúde pública para se saber que é muito proveitoso lavar as mãos antes de comer. Ora, quem lava as mãos disto tudo é a Microsoft, e as críticas que leva aqui serão apenas classificadas de injustas se por brandura e contenção.

    Francisco Colaço


    Quem não faz, ensina; quem não faz nem ensina, faz metodologia. Quem não faz nem ensina nem faz metodologia, faz futurologia.

    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por mrmv em 04-01-06 15:34 GMT (#20)
    (Utilizador Info) http://spaces.msn.com/members/shadeofwindows
    Nisso concordamos, mas é pouco produtivo continuar a insistir na culpa da Microsoft, que ela não nega e tem vindo a tentar mudar (e muitos outros procuram aproximar-se do modelo de que esta procura afastar-se, enfim...), mas como imaginas pela responsabilidade (e dificuldade) que é ter a base instalada que tem, não pode promover mudanças rápidas a este nível, tem uma herança que apenas por inegnuidade se pode acreditar que nas versões actuais se pode resolver com simplicidade... penso que é claro que todos nós sabemos o quanto custa fazer estas coisas.

    My son is now an "entrepreneur." That's what you're called when you don't have a job.
    Ted Turner
    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por Perky_Goth em 04-01-06 20:10 GMT (#26)
    (Utilizador Info) www.lugradio.org
    é fascinante como alguém acredita de facto nisso...
    -----
    Milhões de pessoas morreram pelos direitos e liberdades que os nossos políticos estão a destruir com a sua assinatura.
    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por mrmv em 04-01-06 21:10 GMT (#27)
    (Utilizador Info) http://spaces.msn.com/members/shadeofwindows
    Tu falas porque não te dás ao trabalho de perceber o que foi ou está a ser feito neste dominio, mas desde, modificar os produtos actuais, reduzindo as áreas de exposição, revisão de código, automatica e humana, investimento em tecnologia no dominio da segurança, por aquisição e investigação, educação dos utilizadores, etc, enfim, tudo isto se tem efectivamente traduzido num registo mais digno no dominio da segurança.

    Se não acreditas em mim, vai por favor a sites não MS ou por ela patrocinados e vê a redução significativa no número de vulnerabilidades detectadas, e olha que a base de código não tem diminuído...

    Mas para que não digas que ando a inventar, lê primeiro e se não perceberes avisa porque sempre te posso tentar ajudar explicando...

    http://msdn.microsoft.com/security/default.aspx?pull=/library/en-us/dnsecure/html/sdl.asp

    http://msdn.microsoft.com/security/securecode/threatmodeling/default.aspx

    http://www.microsoft.com/security/default.mspx

    http://www.research.microsoft.com/~manuelc/MS/VigilanteSOSP.pdf

    Enfim só não vê quem é cego, e se achas que hoje em dia alguém faz melhor, por favor diz...

    E olha que muita gente diz que sim que muita coisa mudou e não fui eu...

    http://www.informationweek.com/story/showArticle.jhtml?articleID=166404290

    My son is now an "entrepreneur." That's what you're called when you don't have a job.
    Ted Turner
    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por Perky_Goth em 05-01-06 3:56 GMT (#43)
    (Utilizador Info) www.lugradio.org
    não é questão de não acreditar, e vou depois ver os links...

    é que aki o nabo vê as seguintes coisas:
    - durante dez anos, suportaram funcionalidades antigas e propensas a erro em nome da compatibilidade;
    - dizem que agora é que vamos fazer isto seguro, vá, e conseguem ter falhas de segurança descobertos durante 6 meses até alguém ter um exploit e aí lembram-se que se calhar era boa ideia corrigirem isso;
    - mas bom, só lançamos patches à terceira-feira. excepto nas falhas críticas. mas bem, neste caso também só é terça, porque nos apetece. ah, e se o patch quebrar outra coisa qualquer porque decidimos incluir uma actualização a outra merda q n tem nada a ver, bem, paciência;
    - mas, vejam lá, agora podem comprar o nosso anti-spam e o nosso anti-vírus para o caso de nós termos cometido erros! só por mais $xxx! que negócio!
    - bem, a gente tem aqui um monte de software e sistemas que não olhamos à uns anos, o que qualquer pessoa entende, com tanto remendo também ninguém quer olhar. invés disso, decidimos reescrever tudo para a próxima versão, vá, só têm que esperar um ano e ficam sem problemas! não é muito pois não? e olhem, entretanto, já vos falei do excelente negócio que é o nosso anti-vírus?

    ---

    de boas intenções está o mundo cheio. a realidade é que este tipo de coisas continua a acontecer, o que também não é grande surpresa. e também continua a ser verdade que esses senhores continuam a ignorar falhas críticas até algo grave acontecer.
    -----
    Milhões de pessoas morreram pelos direitos e liberdades que os nossos políticos estão a destruir com a sua assinatura.
    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por fhc em 05-01-06 11:49 GMT (#52)
    (Utilizador Info)

    Por favor, mrmv, olha que passo mesmo do repetir para o não saber pensar. Quanto a essa da Information Week, vamos fazer as contas:

    Há lá doze distribuições de Linux, Unix e OSX como "Unix/Linux". Há três mais vulnerabilidades no Linux do que no Windows. Há dez vezes mais aplicações de Unix/Linux consideradas do que em Windows.

    Vejamos as vulnerabilidades. Quase todas são repetidas pelos diferentes sistemas operativos em Unix/Linux.

    Ora resolve esta equação: sendo x as vulnerabilidades em unix: 12x = 3. Isto é 12 distribuições de Unix têm 3 vezes mais vulnerabilidades no seu conjunto que o Windows. Logo x = 0.25, o que te diz que são 1/4 do que são em Windows.

    Resta que a Microsoft não divulga (dados deles) mais de metade das vulnerabilidades, pelo que x é agora 0,125, ou 1/8. Quanto às aplicações (que contam com 50% das mesmas vulnerabilidades, ha 10 vezes mais aplicações em Unix/Linux do que em Windows consideradas (atenção o Acrobat Reader e outras comerciais levam uma grande fatia das vulnerabilidades.)

    x = 0,125 * (0,5 - 0,5/10) = 0,05625. (discuto esta última metodologia, mas sempre é melhor do que a apresentada no estudo) Isto é, existem quase dezoito vezes menos vulnerabilidades em Linux/Unix que em Windows, se acertarmos as bases de comparação.

    E não comparei a gravidade das situações, pois tenho de ir jantar a casa do Bill Gates amanhã com a minha esposa, a Claudia, e não o quero humilhar muito, pois parece mal.

    Francisco Colaço


    Quem não faz, ensina; quem não faz nem ensina, faz metodologia. Quem não faz nem ensina nem faz metodologia, faz futurologia.

    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por fhc em 05-01-06 12:23 GMT (#54)
    (Utilizador Info)

    Erros meus, má fortuna, amor ardente.

    x = 0,125 (0,5 + 0,5/10) = 0,06875. Assim a incidência de vulnerabilidades é de 1 para 14,5,ou 1 para 14 em vez de 1 para 18.

    A próxima parangona da MS. O Windows ficou quatro vezes mais seguro em apenas dez minutos. Amanhã, quando for com a Claudia a casa do Bill, o Bill estará mais contente.

    Francisco Colaço


    Quem não faz, ensina; quem não faz nem ensina, faz metodologia. Quem não faz nem ensina nem faz metodologia, faz futurologia.

    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por mrmv em 05-01-06 13:26 GMT (#58)
    (Utilizador Info) http://spaces.msn.com/members/shadeofwindows
    Oh Francisco o que andas a tomar? Infelizmente se quiseres discutir tens de ler... eu sei que te tens em muito boa conta, mas admite andas cansado e já não és o que eras ;o)

    Leste ao menos o artigo? Eu não estou a discutir as métricas do artigo que tu confundiste meu amigo, porque poderia contrapor ao teu modelo um outro um pouco mais sofisticado que tenha em conta a criticidade e a base de código, entrando na mitica discussão da qualidade do código utilizando as densidades médias de erros da indústria para limpar o mito dos recursos ilimitados e do código de extrema qualidade do SL, mas ambos sabemos que não vale a pena.

    My son is now an "entrepreneur." That's what you're called when you don't have a job.
    Ted Turner
    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por mrmv em 06-01-06 11:02 GMT (#74)
    (Utilizador Info) http://spaces.msn.com/members/shadeofwindows
    Oh Francisco o que andas a tomar? Estás cada vez pior pá... Infelizmente para conseguires discutir tens de ler... eu sei que te tens em muito boa conta, mas admite andas cansado e já não és o que eras ;o)

    Existe outra coisa que te queria dizer, e prende-se com "o que dizes" e "o que fazes", e as coisas não batem certo, isto porque está claro que positivamente borrifas-te para o que te dizem, embora gostes de dar a sensação que percebeste, que até deste uma oportunidade, mas que não foi suficiente para mudares a tua opinião... o que te queria dizer é que, com tão pouca humildade, deves perder imensas oportunidades de aprender... mas até percebo que nestes casos em particular prefiras esconder a cabeça na areia, basicamente não te interessa ;o) mas aí, não podes reclamar legitimidade para falar do que não conheces.

    Eu não estou a discutir o artigo que tu confundiste meu amigo, porque poderia contrapor às tuas assumpções outras tão legitimas como as tuas, e um modelo um pouco mais sofisticado que tenha em conta a criticidade e a base de código envolvida, entrando na mitica discussão da qualidade do código utilizando as densidades médias de erros da indústria, para limpar o mito dos recursos ilimitados e do código de extrema qualidade do SL, mas ambos sabemos que não vale a pena.

    Mas já agora para mim o único valor do artigo a que te referes é apenas chamar a atenção que isto é um problema da indústria, e não exclusivo da Microsoft e que definitivamente está por provar que outros andem a fazer muito melhor, afinal as vulnerabilidades existem, não são inventadas...

    My son is now an "entrepreneur." That's what you're called when you don't have a job.
    Ted Turner
    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por fhc em 06-01-06 13:03 GMT (#76)
    (Utilizador Info)

    O que estou a dizer é que o dito artigo repete uma vulnerabilidade no kernel do Linux pelo número de distribuições. Sendo assim, deveria repetir o WMF bug por 20 ou 30 (Win 1.0, 2.0, 3.0, 3.1, 3.11, 95, 98, 98SE, ME, NT4.0, 2000, XP, 2003 Server, sendo que NT, 2000 e XP têm variantes imensas).

    Sei que o Linux não é imune a erros. Sei que ninguém é perfeito, a começar pelos protocolos utilizados. Agora, usar amostras enviesadas e metodologias erradas para dizer mentiras, isso é que me amola e contra isso me revolto.

    Eu vendo e suporto produtos Microsoft. A porcaria de outrora é aceitável hoje. O XP não tem nada a ver com o 98 em termos de estabilidade e de programação. É muito melhor. A Microsoft poderia ter pegado por aí. Poderia ter dito «estamos muito melhores, estamos a melhorar». Embora isso não me fizesse desistir do meu desktop Linux, não poderia senão aquiescer. Agora, quando em vez de apostar no melhor que tem (e tem feito muito bem em muitas coisas, não na segurança infelizmente) se limita a mentir e a aldrabar, parece-me aquele primeiro ministro que dizia não ir aumentar impostos (houve dois na história recente).

    Facto: o Windows é muito mais inseguro e instável do que o Linux. É indismentível. No entanto, há coisas boas que vêm de Redmond. Facto: a Microsoft tem vindo a melhorar muito em estabilidade. Facto: a microsoft tem vindo a melhorar muito o API de programação. Facto: a Microsoft tem ouvido mais os programadores, e a comunidade. Facto: a Microsoft percebeu que a compatibilidade nem sempre é desejável tendo em vista a estabilidade e a segurança. Facto: a Microsoft lançou um bom ambiente de programação (.NET). Facto: a Microsoft tem um excelente portafólio de aplicações e de jogos. Será que isto não basta, ou é preciso enveredar em técnicas como os estudos enviesados e a comparação desonesta?

    Francisco Colaço


    Quem não faz, ensina; quem não faz nem ensina, faz metodologia. Quem não faz nem ensina nem faz metodologia, faz futurologia.

    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por Perky_Goth em 06-01-06 20:42 GMT (#84)
    (Utilizador Info) www.lugradio.org
    não não, meu caro fernando, isso é tudo fruto da nossa imaginação invejosa do sucesso alheio!
    arre!
    -----
    Milhões de pessoas morreram pelos direitos e liberdades que os nossos políticos estão a destruir com a sua assinatura.
    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por fhc em 07-01-06 10:51 GMT (#91)
    (Utilizador Info)

    É Francisco, basta leres a assinatura.

    Francisco «não Fernando» Colaço


    Quem não faz, ensina; quem não faz nem ensina, faz metodologia. Quem não faz nem ensina nem faz metodologia, faz futurologia.

    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por Zarluk em 05-01-06 1:31 GMT (#36)
    (Utilizador Info) http://o-caos-avassalador.blogspot.com/
    Nisso concordamos, mas é pouco produtivo continuar a insistir na culpa da Microsoft, que ela não nega e tem vindo a tentar mudar

    ROTFL

    Também acreditas no Pai Natal e na Fada Dentinho, não é?

    Desde o lançamento do NT que esles andam a vender essa história... já lá vão quantos anos?


    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por mrmv em 05-01-06 1:37 GMT (#38)
    (Utilizador Info) http://spaces.msn.com/members/shadeofwindows
    Por acaso até é observável, olha para o registo de segurança de qualquer produto deles e compara... achas que é por acaso?

    My son is now an "entrepreneur." That's what you're called when you don't have a job.
    Ted Turner
    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por Zarluk em 05-01-06 2:35 GMT (#42)
    (Utilizador Info) http://o-caos-avassalador.blogspot.com/
    Estás a falar do Pai Natal ou da Fada Dentinho?
    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por mrmv em 05-01-06 13:28 GMT (#59)
    (Utilizador Info) http://spaces.msn.com/members/shadeofwindows
    Não, utiliza os recursos à tua disposição sei lá podes começar pela secunia, mas encontras muitos outros. Só revelas desconhecimento, mas nada de novo, portanto...
    My son is now an "entrepreneur." That's what you're called when you don't have a job.
    Ted Turner
    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por Zarluk em 07-01-06 0:23 GMT (#88)
    (Utilizador Info) http://o-caos-avassalador.blogspot.com/
    ROTFL... Afinal, é o Pai Natal e a Fada Dentinho.
    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por mrmv em 09-01-06 6:52 GMT (#96)
    (Utilizador Info) http://spaces.msn.com/members/shadeofwindows
    Pois para umas coisas dá jeito utilizar as referências para outras não, seguramente basta-nos a tua palavra, assim fico muito mais descansado...

    My son is now an "entrepreneur." That's what you're called when you don't have a job.
    Ted Turner
    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por fhc em 05-01-06 11:33 GMT (#51)
    (Utilizador Info)

    Se leste após o primeiro parágrafo, irias ver que o meu ponto é que a Microsoft não mudou nada: continua a acreditar que as pessoas devem ter privilégios irrestritos no computador, muito embora diga o contrário.

    A não ser que agora o teu instalador de WinXisPê te diga «crie uma conta limitada». O meu instalador UBUNTU só cria uma conta limitada (com acesso ao sudo, claro).

    mrmv, é fácil eu dizer que casei com a Cláudia Schiffer. Ora, essa versão nem tu acreditas nem a Cláudia Schiffer irá confirmar nem existem provas de que o fiz. Quando muito poderia dizer que gostaria de ter casado com a Claudia Schiffer, e nisso tu acreditas, e não preciso de provas (Disclaimer, não gostaria, nem a acho particularmente bonita). Mas não tens de acreditar que alguma vez isso venha a acontecer.

    Vês portanto o que penso das declarações da Microsoft. Eles dizem que se preocupam com a segurança. Acredito. Mas continuam a permitir e a encorajar erros crassos e a negar a respectiva educação dos utilizadores.

    Só uso WinXispe para correr CAD e CAD eléctrico, e mesmo isso dentro do VMWARE (licenças pagas). Daqui a um mês o kicad terá substituído o CAD eléctrico que tenho agora e estou à espera que a Progesoft lance o CADforlinux de vez, pelo que o Windows fica só para correr as Xilinx tools.

    Podes achar, em consciência, que o Windows tem vantagens. Pessoalmente, não acho. Mas sei que decerto se perguntares à maioria dos utilizadores esclarecidos para nomear as vantagens do Windows, segurança nem no topo nem no meio figurará. É mais seguro do que era? Discutível. É mais estável? Certamente, e isso é bom. É mais ergonómico do que era? Penso que não, continua na mesma. Mais fácil de administrar? Não, continua na mesma. Mais fácil de programar para ele? Isso sim, é bastante mais fácil hoje do que era há uma década atrás.

    Francisco Colaço


    Quem não faz, ensina; quem não faz nem ensina, faz metodologia. Quem não faz nem ensina nem faz metodologia, faz futurologia.

    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por linc em 05-01-06 12:51 GMT (#55)
    (Utilizador Info)
    Peço desculpa se já alguém referiu isto (visto que ainda não li todos os posts :o).

    Estão todos a falar da segurança de correr código com um utilizador não privilegiado em Windows ou em Linux.

    Quem está a falar sobre o UBUNTU não dar acesso à conta de administrador directamente mas apenas com um 'sudo', não se está a esquecer que isso significa que toda e qualquer aplicação que tenha a capacidade de executar comandos arbitrários (não privilegiados) vai poder executá-los como root? :o)

    É claro que podes desactivar isso e voltar ao modo normal (autenticação pura...dura e VULGAR ;o)) mas pela tua conversa não o fazes pois não? eheheh [nem tu nem os tais utilizadores que instalam e confiam que nada de mal pode acontecer!]...

    Bem, foi só um comentário (sem querer ofender ninguém e espero bem que ninguém me flame que eu nem costumo postar cá nada).
    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por fhc em 06-01-06 10:17 GMT (#71)
    (Utilizador Info)

    Já que não admitiste resposta, faz no teu shell sudo -i. Obténs uma interessante coisinga dita password:. Pois, para executar com privilégios acrescidos ou a aplicação é suid root (poucas serão) ou tens de entrar com o sudo e uma senha. Que aliás o teu sistema não mantém, visto que só mantém o SALT dela.

    Sim, podes fazer fhc = (ALL) NOPASSWD: ALL no ficheiro /etc/sudoers. Isso implica que tenhas de editar o ficheiro, aceitando as consequências portanto. Eu faço, mas isso é prerrogativa minha, e só uso shell de root quando necessito.

    Tenho de discordar do que disseste, portanto.

    Francisco Colaço


    Quem não faz, ensina; quem não faz nem ensina, faz metodologia. Quem não faz nem ensina nem faz metodologia, faz futurologia.

    Re:código em imagens.. essa é boa O_o (Pontos:0)
    por tonidosimpostos em 05-01-06 0:26 GMT (#33)
    (Utilizador Info)
    Tirar a password de root e substituir pelo sudo é uma grande medida de segurança ?? Gimme a fuckin break... Há coisa de 2 semanas saiu um exploit para o sudo... O historial do sudo é de problemas, e é o remédio para isto ? Yeah... right...

    "The surprising part about finding this flaw in Wine is that they implemented the entire Meta File API without realizing that this could be a security issue
    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por Lowgitek em 05-01-06 19:48 GMT (#65)
    (Utilizador Info)
    O remédio é usar o windows...


    Ao Orgulho segue-se a ruína, e a arrogância vem antes da queda (Prov. 16:18)
    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por fhc em 06-01-06 10:21 GMT (#72)
    (Utilizador Info)

    E já agora, falta o Toni admitir que o remédio para os incêndios florestais é cortar todas as árvores. E que o remédio para a fraude fiscal é acabar com os impostos. E que o remédio para a crise dos combustíveis é acabar com as estradas. E que o remédio para o crime é acabar com todo o edifício legal e o estado de direito.

    Muito bem visto, caro amigo.

    Francisco Colaço


    Quem não faz, ensina; quem não faz nem ensina, faz metodologia. Quem não faz nem ensina nem faz metodologia, faz futurologia.

    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por Lowgitek em 06-01-06 13:57 GMT (#78)
    (Utilizador Info)
    Faltou ai o rémedio para os toxicodependentes mas acho melhor parar por ai se não o bloco de Esquerda iria acabar por te contratar :)


    Ao Orgulho segue-se a ruína, e a arrogância vem antes da queda (Prov. 16:18)
    Re:código em imagens.. essa é boa O_o (Pontos:0)
    por tonidosimpostos em 06-01-06 20:33 GMT (#82)
    (Utilizador Info)
    Nao, o remedio para a crise dos combustiveis eh ficar esperado sentado, ah espera do teu milagre... :)

    "The surprising part about finding this flaw in Wine is that they implemented the entire Meta File API without realizing that this could be a security issue
    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por daem0n1x em 04-01-06 19:21 GMT (#25)
    (Utilizador Info)

    Apoiado!

    Lá em casa utilizo o Windows sem privilégios de administração e é um pesadelo. Ainda por cima, dá imenso trabalho a configurar porque tens que criar as permissões todas no disco e no registo e tens que andar à pesca dos sitiozinhos onde tens que abrir tudo por causa das aplicações "marotas".

    Já o Linux, que é o que eu uso 95% do tempo, não é preciso nada, basta instalar e pronto. E as aplicações todas já sabem o que a casa gasta, por isso, portam-se bem.

    Quando instalava máquinas dos amigos, fazia a tal mariquice de lhes criar uma conta sem privilégios e explicar que para instalar "software" e outras tretas tinham que entrar noutra conta, escrever a password, etc.

    Os PCs vinham-me parar às mãos uns meses mais tarde com as contas deles alteradas para serem administradores, e cheios de vírus até às goelas.

    Agora já me estou a cagar. Se a segurança apresentar a mínima dificuldade aos gajos, eles lixam-se na segurança. Sejam lá administradores à vontade! Já estão é avisados para verem o que andam a fazer, porque quando aquela merda estiver enterrada em vírus e spyware até ao pescoço, eles que vão pedir ajuda ao Camões!


    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por mrmv em 04-01-06 22:43 GMT (#28)
    (Utilizador Info) http://spaces.msn.com/members/shadeofwindows
    http://blogs.msdn.com/Aaron%5FMargosis/

    ins and outs of LUA.
    My son is now an "entrepreneur." That's what you're called when you don't have a job.
    Ted Turner
    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por Perky_Goth em 03-01-06 22:46 GMT (#9)
    (Utilizador Info) www.lugradio.org
    lalalalalala, i can't hear you!
    -----
    Milhões de pessoas morreram pelos direitos e liberdades que os nossos políticos estão a destruir com a sua assinatura.
    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por 4Gr em 04-01-06 0:35 GMT (#11)
    (Utilizador Info) http://www.fe.up.pt/~ei02069
    Isso são as declarações oficiais da Microsoft? É que se me dissesses que são eu não duvidava minimamente!

    Dominus vobiscum
    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por mrmv em 04-01-06 1:06 GMT (#13)
    (Utilizador Info) http://spaces.msn.com/members/shadeofwindows
    O teu problema é limitares-te a repetir e normalmente não pensares um bocadinho, isso ajudava e muito...
    My son is now an "entrepreneur." That's what you're called when you don't have a job.
    Ted Turner
    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por fhc em 04-01-06 11:48 GMT (#17)
    (Utilizador Info)

    O teu problema é limitares-te a repetir e normalmente não pensares um bocadinho

    Não quero ser mauzinho, pá, mas consta que isso é o que dizem de ti. Muito embora em minha opinião só parcialmente possa ser verdade (deixo-te escolher se é a da repetição ou de não pensares muito). ;-)

    Desculpa lá, não resisti, nem me leves a mal.

    Francisco Colaço


    Quem não faz, ensina; quem não faz nem ensina, faz metodologia. Quem não faz nem ensina nem faz metodologia, faz futurologia.

    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por mrmv em 04-01-06 15:43 GMT (#21)
    (Utilizador Info) http://spaces.msn.com/members/shadeofwindows
    Eu não levo a mal a opinião de ninguém, e tenho alguma auto-critica que me permite mudar de opinião sempre que fique convencido de que é o mais adequado.

    A opinião da maioria dos que por aqui gravitam, como deves perceber não é das coisas que mais me preocupa, aliás, não me preocupa absolutamente nada.

    Uma coisa que fique clara, tudo o que aqui expresso, decorre sempre daquilo que é a minha experiência, e não apenas pelo que ouvi dizer, ou li, que é também prática corrente por estes lados...

    A única coisa que me faz responder, é a opinião parva de quem assume que só porque é Microsoft é mau ou não funciona, e esquece-se que até existe quem utilize e com sucesso, é só isso, eu até acho que o problema hoje em dia não é a tecnologia, por isso...

    My son is now an "entrepreneur." That's what you're called when you don't have a job.
    Ted Turner
    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por fhc em 05-01-06 12:14 GMT (#53)
    (Utilizador Info)

    Nunca ninguém assume que uma coisa é má porque é Microsoft. Isso é tão estúpido como a atitudo do Bloco de Esquerda, que espera a posição dos Estados Unidos para se colocar contra esta. O que dizemos é que 1) a Microsoft tem posto no mercado muita coisa realmente má, 2) tem vindo a melhorar em muita coisa, mas não na segurança e 3) a Microsoft fala muito sobre segurança, e aquiesço que seja hoje uma real procupação. Porém, gere este assunto com alguma incompetência.

    Ninguém diz que a Microsoft não se preocupa com segurança. Acho que isso é o que deixa o Bill acordado à noite e o Paul Allen a Xanax. Agora, que se digam mais seguros que Linux/Unix com estudos manipulados e amostras enviesadas, isso é desonestidade.

    Francisco Colaço


    Quem não faz, ensina; quem não faz nem ensina, faz metodologia. Quem não faz nem ensina nem faz metodologia, faz futurologia.

    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por blacksheep em 04-01-06 11:53 GMT (#18)
    (Utilizador Info) http://rpmcruz.planetaclix.pt/
    Acho que mais triste que o teu comentário foram as respostas que te deram. O gíldot está mesmo nas ruas da amargura...

    Não vale a pena stressar, se a conta a utilizar não possuir grandes previlégios no referido sistema os problemas que daí poderão advir não serão concerteza grandes.

    Para mim, e acho que para qualquer outro utilizador, mais importante que me darem cabo do sistema é mas é que os meus documentos sejam salvaguardados. Quero lá saber que façam com que o sistema não arranque, eu reinstálo-o. Agora alguém ter acesso aos meus documentos e ver o exame para semana, isso já é preocupante IMHO.
    Para um administrador de sistemas claro que há diferença entre uma vulnerabilidade na conta de um utilizador e na de administrador, que afecta todos os utilizadores. Mas, num computador pessoal, os computadores susceptíveis a esta vulnerabilidade (mesmo que o servidor corra Windows, o administrador não se vai pôr a navegar na net como root), a gravidade é a mesma.

    Eu não fiz unregister de componente nenhum e ainda não tive problema algum

    Como tu, até à data, não tiveste nenhuma problema, ele não é importante? A meu ver, se uma em cada mil pessoas vir o seu sistema invadido, já é alarmante.

    Religion, the only confort left in a world splited by religion. (The Daily Show)
    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por mrmv em 04-01-06 16:12 GMT (#22)
    (Utilizador Info) http://spaces.msn.com/members/shadeofwindows
    O gíldot está mesmo nas ruas da amargura...

    Tens andado distraído ;o)

    Como tu, até à data, não tiveste nenhuma problema, ele não é importante

    Não era esse o sentido das minhas palavras, o problema é importante, mas as condições para o explorares obrigam à intervenção de um utilizador. Já sei que a grande maioria dos utilizadores não está perfeitamente consciente do risco que corre e daquilo que são as boas práticas nestas coisas, mas tudo isto não se muda de um dia para o outro... eu diria que hoje as coisas estão melhores, mas ainda estamos longe de onde todos gostariamos de estar ;o)


    My son is now an "entrepreneur." That's what you're called when you don't have a job.
    Ted Turner
    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por Lamego em 06-01-06 10:34 GMT (#73)
    (Utilizador Info) http://software.pt-link.net
    Genéricamente a ideia de que um dia os utilizadores vão ter uma consciência de segurança é tão desejada como utópica, no caso desta vulnerabilidade a intervenção do utilizador ainda que necessária é tão simples como o visita de uma página com uma determinada imagem. Sugeres que os utilizadores deixem de navegar quando aparecem estas vulnerabilidades ou então que todas as páginas (foruns, etc) tenham certificados de boa fé, ou obriguem os utilizadores que podem publicar conteudos (em foruns, blogs e afins) que tenham tambem um certificado de boa fé ?
    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por mrmv em 06-01-06 15:37 GMT (#79)
    (Utilizador Info) http://spaces.msn.com/members/shadeofwindows
    Tipicamente estas imagens não estarão nos sitios mais populares, seguramente. Numa situação destas, normalmente passas a ter cuidados adicionais no sentido de não correres tantos riscos, deve ser tão simples encontrar um site desses mas eu ainda não encontrei nenhum...

    My son is now an "entrepreneur." That's what you're called when you don't have a job.
    Ted Turner
    Re:código em imagens.. essa é boa O_o (Pontos:2)
    por Lamego em 06-01-06 23:13 GMT (#87)
    (Utilizador Info) http://software.pt-link.net
    Depreendo então que os teus hábitos de navegação no que diz respeito à popularidade dos sitios visitados bem como os cuidados adicionar que se pode ter pela diminuição de visitas alvo devem ser considerados um modelo típico na internet e como tal justificar a despreocupação com esta falha...
    Gosto desse sentido apurado de segurança: "Se ainda não os vi, é porque não os há"...
    Re:código em imagens.. essa é boa O_o (Pontos:1)
    por mrmv em 07-01-06 0:43 GMT (#89)
    (Utilizador Info) http://spaces.msn.com/members/shadeofwindows
    Não, ninguém disse isso nem estou a sugerir relaxar, o que digo é que neste caso em particular pareceu-me uma histeria despropositada...

    My son is now an "entrepreneur." That's what you're called when you don't have a job.
    Ted Turner
    Mirror para o patch nao-oficial (Pontos:1)
    por jamaica em 04-01-06 14:05 GMT (#19)
    (Utilizador Info) http://forum.bandalarga.org/
    aqui. o hexblog foi slashdotted pois metade da internet lembrou-se de sacar o unico patch existente. se tiverem medo de ir ao primeiro site, sempre podem seguir o link por aqui :)


    Billou's ditto:
    Our patch isn't ready / you have to wait / so keep antivirus / up-to-date



    ---------------------
    O Cherne fugiu, mas o Imperador nomeou o Carapau de Corrida, que vai trazer as Chaputas todas

    Re:Mirror para o patch nao-oficial (Pontos:0)
    por tonidosimpostos em 05-01-06 0:19 GMT (#30)
    (Utilizador Info)
    Nao é o unico patch existente, pq primeiro surgiu o unregister do dll... Há queixas de que este "patch" não é 100% eficaz, e já existem reclamações de incompatibilidades com algumas aplicações...

    "The surprising part about finding this flaw in Wine is that they implemented the entire Meta File API without realizing that this could be a security issue
    Re:Mirror para o patch nao-oficial (Pontos:2)
    por Perky_Goth em 05-01-06 3:58 GMT (#44)
    (Utilizador Info) www.lugradio.org
    toni... é chato que quando de facto queres acrescentar alguma coisa, ficas a meio...
    que problemas? que incompatibilidades?
    não sendo gestor de sistemas de momento não ando atrás disso, só quero proteger os pcs de casa e informar os amigos. que parte da história me falta?
    -----
    Milhões de pessoas morreram pelos direitos e liberdades que os nossos políticos estão a destruir com a sua assinatura.
    Re:Mirror para o patch nao-oficial (Pontos:2)
    por Perky_Goth em 05-01-06 4:08 GMT (#45)
    (Utilizador Info) www.lugradio.org
    BTW, sobre a sig... quase toda a gente tem que usar o windows, por alguma razão é considerado um monopólio em alguns mercados.
    seja pelo exchange/outlook, office, aplicações especializadas, ver vídeo de forma legal, visual studio, photoshop, jogos ou por outra coisa qualquer, pouca gente se pode dar ao luxo de deitar fora o windows.
    (bem, alguns dos de cima funcionam em apple, mas a gente n tem salários para isso)
    -----
    Milhões de pessoas morreram pelos direitos e liberdades que os nossos políticos estão a destruir com a sua assinatura.
    Re:Mirror para o patch nao-oficial (Pontos:2)
    por null em 05-01-06 9:43 GMT (#50)
    (Utilizador Info)
    O toni não precisa de usar Linux muahahah
    Re:Mirror para o patch nao-oficial (Pontos:0)
    por tonidosimpostos em 05-01-06 22:19 GMT (#67)
    (Utilizador Info)
    O Windows é considerado um monopolio porque toda a gente tem que o usar ? Bem essa argumentação é do melhor... Deves ter andado a fumar umas coisas valentes...

    Então o Linux não é o substituto ? Não tem todas as ferramentes, muittttooooo melhores que as disponiveis para o Windows ? E não é muittooooo mais seguro que o Windows ? Então porque raio toda a gente tem que usar o Windows por alguma ou outra razão ? Nao queres usar, não uses. Da mesma maneira que não és obrigado a ter telemóvel para comunicar com os outros...



    "The surprising part about finding this flaw in Wine is that they implemented the entire Meta File API without realizing that this could be a security issue

    Re:Mirror para o patch nao-oficial (Pontos:2)
    por Perky_Goth em 05-01-06 23:34 GMT (#69)
    (Utilizador Info) www.lugradio.org
    já te disse, office, exchange, jogos e etc.
    e só podes dizer que não é um monopólio se achares que o tribunal federal americano e o trubunal europeu andam a brincar.
    -----
    Milhões de pessoas morreram pelos direitos e liberdades que os nossos políticos estão a destruir com a sua assinatura.
    Re:Mirror para o patch nao-oficial (Pontos:0)
    por tonidosimpostos em 06-01-06 20:28 GMT (#80)
    (Utilizador Info)
    Office nao tens o OpenOffice ?
    Exchange nao tens o Evolution ?
    Jogos nao tens Xbox, PS2, Nintendos, etc ?
    Agora so falta dizer que o Windows eh um monopolio pq as empresas de jogos so fazem jogos para essa plataforma... A PS2 tb deve ser... eeekk !
    A noção de monopolio não tem a ver com o facto de so existirem coisas feitas para Windows, dado que por exemplo os jogos não sao feitos exclusivamente pela Microsoft. E mais, a Microsoft foi condenada pq determinaram que abusou da sua posicao de monopolio, nao porque é um monopolio...

    "The surprising part about finding this flaw in Wine is that they implemented the entire Meta File API without realizing that this could be a security issue
    Re:Mirror para o patch nao-oficial (Pontos:2)
    por Perky_Goth em 06-01-06 20:39 GMT (#83)
    (Utilizador Info) www.lugradio.org
    para abusar do monopolio tem q o ter. nem sei como é que és capaz de argumentar que é possível não usar windows quando se comunica com o mundo exterior, mas vou tomar isso como uma nota da melhoria do software livre.
    chama-se falta de seguir standards. porque, afinal, para quê segui-los se ter mais um favorece a competição? (palavras da MS)
    -----
    Milhões de pessoas morreram pelos direitos e liberdades que os nossos políticos estão a destruir com a sua assinatura.
    Re:Mirror para o patch nao-oficial (Pontos:0)
    por tonidosimpostos em 06-01-06 22:41 GMT (#85)
    (Utilizador Info)
    Ter um monopolio não significa que abuse dele. Por aquilo que me lembre, é isso que a Comissão Europeia não permite. Até porque é designado Abuso de Posição Dominante, e não Posição Dominante.

    Nao sabes como sou capaz de argumentar ? Deixa la ver, no tempo em que utilizava o meu Amiga para aceder à Internet, tinha um cliente de irc, cliente de telnet, browsers de web, clientes de email. Comunicava com o mundo exterior. Hoje, uso Windows, Linux entre outros, e continuo a comunicar com o mundo exterior. Tirar o Windows da equação poderia causar alguns incomodos, mas não me impede de comunicar com os outros. No entanto continuo a usar Windows para desktop, dado que "gosto" dele para essa função. So what ? Poderia usar Linux na mesma, tem as ferramentas de que preciso, no entanto opto pelo Windows. Qual é o problema disso ? As pessoas não podem usar o Windows porque é superior em várias coisas ? Porque tem software bastante superior ao Linux ? Porque gosto mais da organização do filesystem do Windows do que do Linux ?

    O que não faltam, são empresas a não seguir standards, mas pronto, como é Microsoft ha-de ser sempre mau... O sucesso tem sempre isso associado ;)

    "The surprising part about finding this flaw in Wine is that they implemented the entire Meta File API without realizing that this could be a security issue

    Re:Mirror para o patch nao-oficial (Pontos:2)
    por Perky_Goth em 13-01-06 2:44 GMT (#99)
    (Utilizador Info) www.lugradio.org
    why bother. eskeci-me q só tás aqui para chatear.
    -----
    Milhões de pessoas morreram pelos direitos e liberdades que os nossos políticos estão a destruir com a sua assinatura.
    Re:Mirror para o patch nao-oficial (Pontos:2)
    por fhc em 06-01-06 13:11 GMT (#77)
    (Utilizador Info)

    Tenta não utilizar o Intenet Explorer (ou mudar o user-agent do teu browser) para aceder ao site da FIL.

    Imagina que um governo te aplicava uma taxa de ar. Por cada ano que vives pagas 1000¤ por respirar. O Estado pouco ou nada faz para te assegurar a qualidade do ar, especialmente se vives no campo. Acharias justo?

    É disto que estamos a falar. É fácil dizer: tens alternativas. É mais difícil percebê-lo quando organismos e serviços públicos te negam a oportunidade de as utilizares.

    A liberdade pode ser destronada pela incompetência e pela incúria dos homens que têm uma palavra a dizer e não dizem.

    Francisco Colaço


    Quem não faz, ensina; quem não faz nem ensina, faz metodologia. Quem não faz nem ensina nem faz metodologia, faz futurologia.

    Re:Mirror para o patch nao-oficial (Pontos:0)
    por tonidosimpostos em 06-01-06 20:31 GMT (#81)
    (Utilizador Info)
    Right agora a Microsoft é culpada pq os broncos dos developers nao sabem utilizar outra coisa... Isso tem tudo a ver com o abuso da posicao dominante da Microsoft.... eeek... esse quimico em que andas a trabalhar deve andar a fazer-te mal ao cerebro, pq tinhas mais capacidade de argumentar de forma mt mais interessante...

    "The surprising part about finding this flaw in Wine is that they implemented the entire Meta File API without realizing that this could be a security issue
    Re:Mirror para o patch nao-oficial (Pontos:2)
    por fhc em 07-01-06 10:56 GMT (#92)
    (Utilizador Info)

    Se estás à força a tentar que te diga mais do projecto, basta dizer-te que vai bem e recomenda-se. Decidi não falar mais dele aqui. Quando tiverem que saber, saberão.

    Francisco Colaço


    Quem não faz, ensina; quem não faz nem ensina, faz metodologia. Quem não faz nem ensina nem faz metodologia, faz futurologia.

    Re:Mirror para o patch nao-oficial (Pontos:0)
    por tonidosimpostos em 07-01-06 17:11 GMT (#93)
    (Utilizador Info)
    Eu quero lá saber do teu projecto para alguma coisa... Se tiveres sucesso, fantastico, dado que nao devemos desejar mal aos outros. Se der bronca, fantastico tambem, ao menos tentaste, o que eh um espirito que falta neste país. No entanto, podes é poupar-me a esse discurso da treta, que foi aquilo que critiquei. Estamos entendidos ?

    "The surprising part about finding this flaw in Wine is that they implemented the entire Meta File API without realizing that this could be a security issue
    Re:Mirror para o patch nao-oficial (Pontos:2)
    por fhc em 09-01-06 12:44 GMT (#97)
    (Utilizador Info)

    «Discurso da treta» é...

    Francisco Colaço


    Quem não faz, ensina; quem não faz nem ensina, faz metodologia. Quem não faz nem ensina nem faz metodologia, faz futurologia.

    Re:Mirror para o patch nao-oficial (Pontos:0)
    por tonidosimpostos em 09-01-06 19:23 GMT (#98)
    (Utilizador Info)
    Discurso da treta é do tipo "vamos cortar as arvores para evitar os incendios", como piada ao vamos instalar o Windows para resolver tudo... Esse é o discurso da treta. Da mesma maneira, vamos instalar o teu produto quimico para resolver a dependencia do petroleo... cof cof cof... bahhhhhhhhhhhhhhh

    "The surprising part about finding this flaw in Wine is that they implemented the entire Meta File API without realizing that this could be a security issue
    FAQ (Pontos:2)
    por mpinho em 04-01-06 23:47 GMT (#29)
    (Utilizador Info) http://mpinho.cjb.net
    A correção eficaz e definitiva pode ser baixada aqui

    http://www.linux.org/

    :-)

    Mas falando sério, esta FAQ está bastante completa sobre essa falha de segurança

    http://linhadefensiva.uol.com.br/2006/01/faq-wmf/
    hehehe (Pontos:1)
    por stack em 05-01-06 18:59 GMT (#64)
    (Utilizador Info) http://127.0.0.1
    gildot a dar as mesmas notícias que o ptnix... só que passado 15 dias :D
    Re:hehehe (Pontos:2)
    por Lowgitek em 05-01-06 19:51 GMT (#66)
    (Utilizador Info)
    isso explica-se facilmente...

    Só se plubicou a notícia agora porque estavam a espera que grande parte dos utilizadores instalassem o patch não oficial e fizessem reboot as suas maquinas... (sim usam windows)
    Ao Orgulho segue-se a ruína, e a arrogância vem antes da queda (Prov. 16:18)
    Re:hehehe (Pontos:2)
    por Ancestor em 07-01-06 3:22 GMT (#90)
    (Utilizador Info) http://www.norteglobal.com
    Nem todas, a do NetBSD 3.0 ficou na gaveta...


    Why do you Linux and drive when you can BSD and fly?
    Re:hehehe (Pontos:1)
    por stack em 08-01-06 13:58 GMT (#95)
    (Utilizador Info) http://127.0.0.1
    compreende-se, mas continua a dar no mesmo, ou seja, o gildot anda uns passos atrás
    Security Update for Windows XP (KB912919) (Pontos:1)
    por Nunones em 05-01-06 23:58 GMT (#70)
    (Utilizador Info) http://nunonunes.com
    http://www.microsoft.com/technet/security/Bulletin/ms06-001.mspx
    "Unix IS user-friendly. It's just picky about who its friends are."

     

     

    [ Topo | FAQ | Editores | Contacto ]