Vulnerabilidad (a/a JM Tella Llop)

No, ese fue el Centro de Alerta Temprana del MCyT. ;-))))
Ramón Sola, Málaga (España) / MVP Windows - Shell/User
(yanoseashooligan -> yahoo)
Se procura que los consejos y procedimientos dados sean válidos y
seguros desde el punto de vista técnico. No obstante, declino toda
responsabilidad sobre su uso, ya sea beneficioso o malicioso.

Es bien sabido que fue Jaume Vila [jauvila*no-kk*@hotmail.com] quien escribió
el mensaje news:uqn9N$:

Quien tiene algo que explicar es Hispasec, vaya empresa de seguridad que
permite que se envíen virus a toda la lista de distribución. Sin excusas.


==> Jaume Vila
AMD Athlon 2600+
ASUS A7N8X-Deluxe
2x256 Dual DDR Kingston
Hercules ATi 9200 SE
==

Aps.


==Jaume Vila
AMD Athlon 2600+
ASUS A7N8X-Deluxe
2x256 Dual DDR Kingston
Hercules ATi 9200 SE
=="Ramón Sola [MVP Windows]" escribió en el
mensaje news:
No, ese fue el Centro de Alerta Temprana del MCyT. ;-))))
Ramón Sola, Málaga (España) / MVP Windows - Shell/User
(yanoseashooligan -> yahoo)
Se procura que los consejos y procedimientos dados sean válidos y
seguros desde el punto de vista técnico. No obstante, declino toda
responsabilidad sobre su uso, ya sea beneficioso o malicioso.

Es bien sabido que fue Jaume Vila [jauvila*no-kk*@hotmail.com] quien
escribió
el mensaje news:uqn9N$:

Quien tiene algo que explicar es Hispasec, vaya empresa de seguridad que
permite que se envíen virus a toda la lista de distribución. Sin excusas.


==> Jaume Vila
AMD Athlon 2600+
ASUS A7N8X-Deluxe
2x256 Dual DDR Kingston
Hercules ATi 9200 SE
==

Al loro qué bueno!!!

XDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD

Salu2!!!

Javier Inglés
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho


"JM Tella Llop [MVP Windows] ·" escribió en el mensaje news:utWmj$
A ver... sr. experto en seguridad, que ya que buscas un 'flame' acabas de encontrarlo )nos conocemos desde hace muuuuuucho tiempo.):

Exactamente el dia en la noche en el que microsoft y cert.org hicieron publico un bug del IIS de windows NT , hispasec como es costumbre publico el bug como noticia en su sitio... lo simpatico fue que ellos no se preocuparon de instalar el parche,jeje, sino que se limitaron a enviar la noticia en su boletin como "siempre".

15 de mayo del 2001!! para ser mas exacto!

http://www.cert.org/advisories/CA-2001-12.html

El tema fue que el servidor donde estaba hospedado hispasec.com tenia este bug que era el "decode" que permitia escalar directorios y ejecutar comandos... por lo que era muy facil meterse dentro de este server ya que ademas carecia de cualquier otra proteccion adicional como firewall, permisos de escritura en el wwwroot, etc, por lo que con un par de comandos esa misma noche subieron una pagina .html, algo "sorprendente" ya que se suponia que eran un grupo de seguridad!!!!

se la envio un link de esta pagina por mail a los de hispasec para advertirles de su error. recuerdo que ellos respondieron diciendo algo como "casa de herrero.. cuchilla de palo :)"

si mal no recuerdo fue el mismo bernardo el que conesto el mail :) como vez en esa epoca eran profesionales muy preocupados por la seguridad...


Con todo cariño de uno de vuestro sinceros admiradores por vuiestro amor a la verda, la etica, y sobre todo a sacar lascosas de quicio.


Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"Bernardo Quintero" wrote in message news:

Hash: SHA1

Al ver hoy el último parche para Internet Explorer, he recordado
la discusión sin sentido que mantuve en estos foros, donde el
Sr. JM Tella Llop se empeñó en decir que no existía la vulnerabilidad
de Internet Explorer que permitía ofuscar las URLs.

Después de echar por tierra varios argumentos, finalmente insitió
en que no podía denominarse "vulnerabilidad" en ningún caso. Llegó
a tachar a Hispasec de "amarillista" y alarmistas por denominarlo
"vulnerabilidad".

En el boletín de seguridad de MS de hoy
http://www.microsoft.com/technet/se...04-004.asp
podemos leer:

"A vulnerability that involves the incorrect parsing of URLs that
contain special characters. When combined with a misuse of the
basic authentication feature that has "username:password@" at the
beginning of a URL, this vulnerability could result in a
misrepresentation of the URL in the address bar of an Internet
Explorer window. To exploit this vulnerability, an attacker would
have to host a malicious Web site that contained a Web page
that had a specially-crafted link."
[...]

Parece que Microsoft coincide con mi punto de vista (como también
lo hizo el CERT/CC y cualquiera con criterio en seguridad), en
denominarlo como VULNERABILIDAD.

Espero que el sr. JM Tella Llop tenga a bien rectificar las
afirmaciones que sostuvo en estos foros, y que pudieron
confundir a otros usuarios.

En caso contrario, tendré que suponer que Microsoft, como Hispasec
y el resto del mundo, también está equivocada en denominarlo como
"vulnerabilidad", y él sigue teniendo razón :)

Saludos cordiales,

Bernardo Quintero