Vulnerabilidad subida de peso en Linux (xz)

Pero al final salen las vulnerabilidades a la luz.

Salen a la luz una pequeña parte de ellas, como en Windows.

Los que sí tenían razón eran los talibanes de la FSF que no querían blobs. Solo código que se pueda leer.

Sin blobs, binarios, software propietario o como quieras llamarlo, la cuota de usuarios de Linux en el escritorio sería de un 0,05% como mucho.

Menudo cuñao, llamando cuañaos a otros. En código abierto lo detectan y al día siguiente le están poniendo solución.

¿Quién es el cuñao?


ja8kdln-jpg.1850024


La seguridad de Linux (o de MacOS) está muy mitificada. Ahora mismo su seguridad reside en que la base de usuarios es muy pequeña. Con una tasa de uso como Windows, yo estoy convencido de que veríamos números de vulnerabilidades y brechas muy similares a las de Windows.
Y escribo desde mint, tengo en casa Windows, MacOS, Debian y Mint, no es que quiera defender a MS.

La de Linux sí. MacOS, al igual que Windows, es un sistema más seguro que Linux, sin ser ambos una maravilla en ese aspecto.

Con windows no tendrás esos problemas porque no los sabrás nunca.

¿Ah no?


Disfruta de tu Windows.

¿Será que no viste la parte final de éste mensaje? Los equipos que no soportan windows 11 oficialmente se están devaluando a marchas forzadas
 
Y ya tenemos un nuevo hilo de Linux monopolizado por el demorado de @Gatoo_ No sé cómo no sólo no lo tenéis bloqueado sino que además entrais en su juego, cuando da verguenza ajena leer las paridas que está diciendo, recordemos algunas de ellas:

9p6rfpj-jpg.1848711


3yb1kwj-jpg.1848710


Pero el culmen de su retraso lo demostró en este mensaje, donde según él, los bichito de Windows no podían hacer nada ejecutados en Wine entre otras cosas porque no entendían el sistema ext4: El otro día instalé gnu/linux y volví a windows de nuevo

jorobar, pero qué estulto es. Está obsesionado con los permisos, como si Windows no los tuviera o como si los de Linux evitasen que un tema de escritorio pudiese borrar todos los archivos personales al ser desinstalado, así que imaginaos lo que podría hacer algún programa maligno.

Lo dicho, mejor tenerlo bloqueado, porque a mí personalmente me dan ganas de estamparle la cabeza contra un muro cuando por desgracia tengo que leerle.
 
Última edición:
En Linux tienes que decidir tú exponerte "al público". En Windows lo deciden por ti.

Lo del keylogger de Windows veo que lo has borrado. Me alegro de que por fin hayas hecho una simple búsqueda en Google.
No lo borre intencionadamente, edite y metí la pata. Ya lo he arreglado. Ahora cuéntame, que vulnerabilidad explota ese keylogger de windows, y sobre todo la primera parte del mensaje, ¿por qué es más seguro un Linux con una cuenta de usuario que un Windows? A ver si resulta que la inseguridad de Windows está en que quien lo usa no toma ninguna precaucion y no en que el sistema sea inseguro o más vulnerable por diseño.
 
Hay desarrolladores que harían lo que fuera con tal de que su nombre salga en un proyecto en Linux, lo que fuera. Y en los curriculums es lo primero que ponen, por delante de cualquier trabajo en una GAFAM.
 
No lo borre intencionadamente, edite y metí la pata. Ya lo he arreglado. Ahora cuéntame, que vulnerabilidad explota ese keylogger de windows, y sobre todo la primera parte del mensaje, ¿por qué es más seguro un Linux con una cuenta de usuario que un Windows? A ver si resulta que la inseguridad de Windows está en que quien lo usa no toma ninguna precaucion y no en que el sistema sea inseguro o más vulnerable por diseño.
Privacidad y seguridad van de la mano. La falta de seguridad de Windows radica en que parte del modelo de negocio de Microsoft es vulnerar constantemente tu privacidad a través del rastreo sistemático y monetización de tus datos, anonimizados o no. A partir de ahí ya si quieres nos ponemos a comentar lo que sea, desde los inumerables bichito que afectan a Windows hasta el robo de llaves que ha sufrido, fuga de datos y lo que sea, una auténtica barbaridad. Simplemente Windows y todo el ecosistema de software y servicios de Microsoft no son confiables, ni podrán serlo jamás. Linux puede tener problemas puntuales, pero como ves se solucionan en abierto, mostrándonos el problema y la solución a todos los desarrolladores y usuarios. Además, qué huevones, la historia de Microsoft es una historia de juego sucio brutal, lo raro es que se permita la comercialización de PCs con Windows, pero eso está cambiando tan rápido que las estadísticas de Statcounter ya no son creíbles, en medio planeta ni se plantean ya usar Windows, produce un gran rechazo, ya sea por su propia naturaleza de sistema operativo merder o por cuestiones políticas.
 
Privacidad y seguridad van de la mano. La falta de seguridad de Windows radica en que parte del modelo de negocio de Microsoft es vulnerar constantemente tu privacidad a través del rastreo sistemático y monetización de tus datos, anonimizados o no. A partir de ahí ya si quieres nos ponemos a comentar lo que sea, desde los inumerables bichito que afectan a Windows hasta el robo de llaves que ha sufrido, fuga de datos y lo que sea, una auténtica barbaridad. Simplemente Windows y todo el ecosistema de software y servicios de Microsoft no son confiables, ni podrán serlo jamás. Linux puede tener problemas puntuales, pero como ves se solucionan en abierto, mostrándonos el problema y la solución a todos los desarrolladores y usuarios. Además, qué huevones, la historia de Microsoft es una historia de juego sucio brutal, lo raro es que se permita la comercialización de PCs con Windows, pero eso está cambiando tan rápido que las estadísticas de Statcounter ya no son creíbles, en medio planeta ni se plantean ya usar Windows, produce un gran rechazo, ya sea por su propia naturaleza de sistema operativo merder o por cuestiones políticas.
Totalmente de acuerdo. Como filosofia, dejar todo a la vista de desarrolladores y usuarios es mejor que un modelo cerrado, hace más fácil ver que falla y que puede ser un backdoor.
Pero en este hilo algunos reducen todo a Windows ocre y Linux bueno sin dar un solo argumento contundente. O dar argumentos de coña, como decir que windows espía y habría que prohibirlo y al mismo tiempo jactarse de que Linux se usa mucho por Android, que espia tanto o más que Windows.
 
Vaya. Se ve que puedes llevar esta tontería hasta el infinito.

Para empezar, no estamos discutiendo si la gente trabaja para otros por dinero. Volvamos a lo nuestro. Tú insinúas que la gente que (en ocasiones o casi siempre) se esfuerza más en proyectos para terceros es (siempre) noséqué (nada bueno). Por ejemplo, un luthier (en realidad, cualquier artesano) que busca satisfacer necesidades que generalmente no son las suyas, en realidad se esmeraría lo justo para contentar a su pagador mientras que los mejores instrumentos los tendría en su casa o los habría regalado a desconocidos.

Por supuesto, un programador, como cualquier otro profesional, muchas veces se verá forzado a dar lo mejor de sí a su pagador, puesto que es quien tiene una necesidad que en no pocas ocasiones es más exigente que cualquiera suya como individuo y dado que la contraprestación es dineraria, entonces entregará (en muchas o pocas ocasiones) lo mejor de sí para trabajar en tiempo y forma. Además, como sabe que le va el prestigio en ello y de eso mismo depende gran parte de su salario, a menudo procurará anteponer los encargos de otros a sus deseos. Esto NO es siempre ni todos. Lo sé, pero desde luego, estás insinuando que nadie en su sano juicio entrega lo mejor para terceros por dinero.
Estás discutiendo por discutir. No me voy a molestar en contestarte.
 
No lo borre intencionadamente, edite y metí la pata. Ya lo he arreglado. Ahora cuéntame, que vulnerabilidad explota ese keylogger de windows, y sobre todo la primera parte del mensaje, ¿por qué es más seguro un Linux con una cuenta de usuario que un Windows? A ver si resulta que la inseguridad de Windows está en que quien lo usa no toma ninguna precaucion y no en que el sistema sea inseguro o más vulnerable por diseño.
El keylogger es una vulnerabilidad en sí mismo. No sé qué quieres que te explique. No necesitan ni colarse en tu PC para conocer tus cuentas y contraseñas porque ya se las estás mandando tú mismo.

Respecto a lo segundo, Linux es más seguro que Windows con una cuenta de usuario porque en Linux no hay 900.000.000 de bichito danzando por la red, y porque cuando se conoce un agujero resulta que incluso es noticia, aunque lo arreglan en cuestión de horas.
 
Última edición:
@Venturi te corrijo tu frase, porque te has olvidado de un detalle: Como filosofia, dejar todo a la vista de desarrolladores, usuarios y hackers es mejor que un modelo cerrado, hace más fácil ver que falla y que puede ser un backdoor.

Si vivieras en una urbanización privada, ¿te gustaría que planos detallados de las casas, así como las ubicaciones y modelos de las alarmas y horarios y rutinas de los vigilantes de seguridad, entre otro tipo de detalles, estuvieran disponibles a todo el mundo en Internet con la excusa de poder así auditar y mejorar la seguridad de tu urbanización? ¿Te sentirías más seguro? Con el software ocurre lo mismo.

¿Acaso piensas que los que sostienen una pancarta de "Welcome Refugees" no creen que los pateriles son pobrecitos indefensos y hambrientos que huyen de la miseria y necesitan ser ayudados, en lugar de ser auténticos sacos de cosa y criminales en algunos casos?

Que el código sea abierto no tiene porque ser mejor o más seguro que el código cerrado, como tampoco a la inversa. Si xz hubiese sido de código cerrado, también se hubiese detectado por el mismo método. Sin ir más lejos, ahí están todos los identificados en Windows y con un cortafuegos (antivirus) para que no puedan causar daños nuevamente; en Linux sin embargo, puedes instalar el troyano de xz o cualquier rootkit de los ya conocidos, que el sistema se lo tragará sin rechistar.

Ya está arreglado.
No como Windows o Mac OS, y eso que lo rellenito e importante se lo hace FreeBSD.

Mirad, otro que no debe de haber visto esto:


ja8kdln-jpg.1850024
 
Última edición:
O dar argumentos de coña, como decir que windows espía y habría que prohibirlo y al mismo tiempo jactarse de que Linux se usa mucho por Android, que espia tanto o más que Windows.
En Android ni siquiera se usa antivirus, la diferencia es bastante sustancial.

Instalar Windows es como comprarse un descapotable y aparcarlo en un barrio de etnianos, jovenlandésnegros y okupas con las llaves puestas.

No puedo entender cómo es posible que la gente instale un sistema que saben que no puede utilizarse sin antivirus. No me cabe en la cabeza.
 

Tu, sobre todo después de ver el enlace que ibas a aportar desde el principio.

No dice por ninguna parte que haya agujeros sin solucionar tanto tiempo como dices tu.

Si leyeras con atención, hace referencia sobre todo a los no detectados.

Te metes al enlace del "hundreds" y ves esto.
1712321025295.png
7 días el que más.

Microsoft puede tener vulnerabilidades años o para siempre y pasa de ti en todos los aspectos.


6 meses después de enterarse todo el mundo de algo tan grave, a saber desde cuando lo sabían ellos.

Piratas informáticos respaldados por el gobierno de Corea del Norte se han hecho con una gran victoria al aprovechar una vulnerabilidad en el sistema operativo Windows, conocida como CVE-2024-21338 que ha tenido en jaque a Microsoft durante demasiado tiempo.

Esta vulnerabilidad, para que te hagas una idea, permitió que instalaran un tipo de malware llamado rootkit en ordenadores vulnerables. Llamado FudModule, se trata de un auténtico ninja de los hackeos: puede ocultar estos archivos y procesos maliciosos en el sistema operativo, permitiendo a los piratas informáticos controlar el ordenador sin ser detectados.


Hasta aquí nada nuevo que no haya ocurrido otras veces. Sin embargo, lo sorprendente es que Microsoft tardó seis meses en solucionar esta vulnerabilidad después de que se la informara en agosto. Durante todo ese tiempo, los ciberdelincuentes de Lazarus, el grupo detrás de esta operación, tuvieron todo el tiempo del mundo para infectar más ordenadores y llevar a cabo sus actividades maliciosas.

En concreto, fueron los investigadores de Avast quienes enviaron a Microsoft una descripción del ataque, junto con un código de prueba de concepto que demostraba lo que hacía cuando era explotado.

Ciberterrorismo: cuando los grupos terroristas encuentran espacio en Internet para lanzar ataques
Ciberterrorismo
Seis meses: ¿Realmente es necesario tanto tiempo para lanzar un parche?
Sabiendo esto seguramente te preguntes, ¿por qué tardaron tanto en parchearlo? Hay una especie de debate sobre si la vulnerabilidad era lo suficientemente grave como para justificar un parche inmediato. Microsoft ha explicado que ciertos tipos de ataques, como este, no son tan preocupantes como otros.

Sin embargo, en el mundo de la ciberseguridad y más si el objetivo en una empresa de este tipo, hay diferentes niveles de acceso a un ordenador. Por así decirlo, hay muchas puertas por las que entrar, y al parecer la vulnerabilidad que Lazarus explotó, conocida como CVE-2024-21338, quizá se les escapaba de las manos a los de Microsoft.

Will Dormann, analista senior de vulnerabilidades de la firma de seguridad Analygence y crítico de Microsoft, dijo: "Podrían tener una muy buena razón por la cual podría haber sido más complicado y requerir más tiempo de ingeniería para solucionarlo. Por otro lado, simplemente podría haber sido priorizado por debajo de otras correcciones de seguridad más urgentes".

Continúa diciendo que las esperas de seis meses para solucionar las vulnerabilidades son "comunes", aunque esos retrasos pueden no ser "aceptables". Sea como fuere, eso es algo que nunca se sabrá. Lo que sí se conoce es que actualmente está solucionado y si aún no has actualizado Windows, deberías hacerlo.
 
...Además, qué huevones, la historia de Microsoft es una historia de juego sucio brutal, lo raro es que se permita la comercialización de PCs con Windows, pero eso está cambiando tan rápido que las estadísticas de Statcounter ya no son creíbles, en medio planeta ni se plantean ya usar Windows, produce un gran rechazo, ya sea por su propia naturaleza de sistema operativo merder o por cuestiones políticas.
Justamente el estado alemán de Schleswig-Holstein acaba de anunciar que deja de usar los productos de Microsoft Office y se pasa a LibreOffice


30.000 PCs estatales, y esto es sólo un primer paso. Según la noticia, está prevista una próxima migración a Linux, así como dejar de usar cualquier producto de Microsoft, lo que incluiría también los servicios de nube de Azure y software de comunicaciones, colaboración y conferencia.
 
Última edición:
¿En serio? ¿Y eres tú el que me aconseja que aprenda a leer? J - O - D - E- R.

"No dice por ninguna parte que haya agujeros sin solucionar tanto tiempo como dices tu."

En la captura que he puesto del pdf lo dice bien claro: cientos de bugs sin solucionar, algunos de ellos vulnerabilidades graves.

Aprende a usar la web, ya que estás mirando donde NO ES:

pU4EWb4.jpg

El pdf también dice que los bugs que detecta ese bot, son una mínima parte del total de bugs reportados del kernel. Si miramos los lugares donde se reportan los bugs del kernel habitualmente, encontrarás decenas de miles sin solucionar. Por ponerte un ejemplo, yo todavía estoy esperando a que solucionen uno que reporté hace como 12 o 13 años.

Muchos bugs de seguridad solucionados en el kernel a veces llegan tarde o no llegan a distribuciones estables. Ayer mismo puse un ejemplo:

w0p0uhl-jpg.1850026


Y aquí el promedio de vida de vulnerabilidades en el kernel, desde que se introducen hasta que se solventan, según un experto en seguridad de Google:

wsbkx5o-jpg.1850025


Los que hablan de Win-Bugs, en ése pdf también podrán leer que cada año se introducen 20 mil bugs en el kernel de Linux.

En cuanto al rootkit ése del Windows, si la noticia no es un clickbait, como aquella que decía que se habían cargado la seguridad de BitLocker en segundos, seguro que a día de hoy ya no es funcional en un Windows actualizado. No se puede decir lo mismo del rootkit que infectó 25 mil servidores Linux hace 10 años, entre ellos, el que alojaba el código fuente del kernel de Linux.
 
Volver