Se inaugura el mes de los fallos en el núcleo


Como ya hiciera HD Moore en julio con su "mes de los fallos en los navegadores", otro investigador relacionado con el proyecto Metasploit ha desarrollado la iniciativa "month of the kernel bugs" que ha decidido encuadrar en noviembre. La idea será publicar un nuevo error en el kernel de cualquier sistema operativo durante todos los días de noviembre.





El proyecto está encabezada por LMH, un investigador de Mestasploit
que según parece posee (y también espera recibir) una colección
suficiente de fallos en los núcleos de los sistemas operativos
como para publicar uno por día durante los 30 días de noviembre.
Podrían ser denegaciones de servicio, escaladas de privilegios o
simplemente fallos. El objetivo es además, mostrar herramientas
y procedimientos que ayuden a mejorar la calidad de los núcleos
de cualquier sistema operativo.

Una de las herramientas usadas para detectar estos errores ha
sido fsfuzzer, un programa capaz de encontrar fallos en una gran
cantidad de sistemas de ficheros, además de sysfuzz, isic... y
otras herramientas destinadas a tantear los límites del software
y que se desarrollan dentro del proyecto Metasploit.

HD Moore ya puso en práctica una iniciativa parecida en julio con
los navegadores. El resultado fue una buena colección de experimentos
que sirvieron para que diferentes navegadores dejasen de responder
o acaparasen todos los recursos de la máquina. Pero sin duda se
recordará por un fallo en concreto, publicado el día 17 de julio
y relacionado con el método setSlice() de Internet Explorer. El
fallo, como tantos otros ese mes, fue calificado en un principio
como denegación de servicio. Sin embargo, el día 27 de septiembre
apareció públicamente una forma de aprovecharlo para ejecutar código
y además se concluyó que el problema residía en el explorador del
sistema operativo, pero era aprovechable a través del navegador.
Ante la gravedad del problema Microsoft publicó un parche el día
10 de octubre.

Según la página oficial, no quieren hacer dinero con el experimento,
sólo comprobar cuántos problemas pueden existir ahí fuera aún sin
conocimiento de la mayoría. De momento, y para empezar, ya han
publicado un fallo en el controlador Apple Airport que provoca
una corrupción de memoria y posiblemente permita la ejecución
de código arbitrario.

Más información:

Vulnerability in Windows Explorer Could Allow Remote Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-057.mspx

the Month of Kernel Bugs (MoKB) archive
http://projects.info-pull.com/mokb/

MoBB, Month of Browser Bugs
http://kernelfun.blogspot.com
http://browserfun.blogspot.com/

Fuente:
Sergio de los Santos
hispasec.com



Otras noticias de interés:

Cloud computing
El cloud computing, o la computación nube, es un nuevo concepto de la Web 2.0 que venimos sintiendo hace un tiempo y que está relacionado con el software de servicios alojados en la gran red de redes. Como ejemplo podemos nombrar a los muy conocido...
El costo de los Bugs
Todos los que alguna vez hayan desarrollado cualquier software, por pequeño o grande que sea, han tenido que pelear con alguno que otro bug que surgen durante su desarrollo, dependiendo del tipo de bug puedes solucionarlo rápidamente o pasar desape...
Los medios sociales ponen en peligro la seguridad de la red empresarial
Cada vez más organizaciones aprecian el valor de los medios sociales como herramienta comercial. Sin embargo, el impacto que éstos están causando en la seguridad de las redes pone de relieve el papel crítico que desempeñan las personas y no los ...
VPN o Redes Privadas Virtuales (Parte II)
Beneficios de una VPN Actualmente, las VPNs pueden aportar grandes beneficios a las empresas, por la diversidad de servicios que ofrecen y que ayudan a fortalecer los objetivos del negocio. Una estrategia de VPN debe estar basada en fun...
Fundación Mozilla: Ley CISPA atenta contra privacidad
La Fundación Mozilla ha asegurado que la recién aprobada Ley CISPA -Ley de Intercambio y Protección de Información de Inteligencia Cibernética- atenta contra su privacidad y concede una inmunidad a las empresas y el gobierno que son demasiado am...
Utiliza OpenDNS para evitar el fallo crítico de los DNS
Seguramente lo leíste o escuchaste en algún medio, toda internet está siendo parcheada debido a un problema de seguridad detectado en los DNS....
En Dubai se dijo que sería Internet
Primero hablemos sobre la UIT, la cual es una institución especializada de la ONU (Organización Naciones Unidas), en la que entran los ciento noventa y tres miembros de la comunidad mundial. La UIT convocó la Conferencia Mundial de Telecomunicacio...
Vulnerabilidad en SoftwareUpdate de MacOS X
Una utilidad incluida en el sistema operativo MacOS X, SoftwareUpdate, puede permitir la instalación de software no autorizado en las máquinas de los usuarios. ...
DVD-Jon lo hace de nuevo, ahora el turno fue de iTunes de Apple
El hacker noruego Jon Lech Johansen, conocido como DVD-Jon, ha encontrado de nuevo un modo de descifrar el código de seguridad anticopia de las canciones de iTunes de Apple, mediante el uso de ingeniería inversa....
Las últimas direcciones IPv4 podrían ser peligrosas
Los pocos bloques de direcciones de Internet que aún deben ser asignadas bajo el viejo protocolo IPv4 parece que se han convertido en “puntos calientes” de tráfico no deseado. Es lo que se ha afirmado durante la conferencia North American Netwo...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fallos
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • inaugura
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nucleo
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra