Vulnerabilidad (a/a JM Tella Llop)

02/02/2004 - 23:24 por Bernardo Quintero | Informe spam
Hash: SHA1

Al ver hoy el último parche para Internet Explorer, he recordado
la discusión sin sentido que mantuve en estos foros, donde el
Sr. JM Tella Llop se empeñó en decir que no existía la vulnerabilidad
de Internet Explorer que permitía ofuscar las URLs.

Después de echar por tierra varios argumentos, finalmente insitió
en que no podía denominarse "vulnerabilidad" en ningún caso. Llegó
a tachar a Hispasec de "amarillista" y alarmistas por denominarlo
"vulnerabilidad".

En el boletín de seguridad de MS de hoy
http://www.microsoft.com/technet/se...04-004.asp
podemos leer:

"A vulnerability that involves the incorrect parsing of URLs that
contain special characters. When combined with a misuse of the
basic authentication feature that has "username:password@" at the
beginning of a URL, this vulnerability could result in a
misrepresentation of the URL in the address bar of an Internet
Explorer window. To exploit this vulnerability, an attacker would
have to host a malicious Web site that contained a Web page
that had a specially-crafted link."
[...]

Parece que Microsoft coincide con mi punto de vista (como también
lo hizo el CERT/CC y cualquiera con criterio en seguridad), en
denominarlo como VULNERABILIDAD.

Espero que el sr. JM Tella Llop tenga a bien rectificar las
afirmaciones que sostuvo en estos foros, y que pudieron
confundir a otros usuarios.

En caso contrario, tendré que suponer que Microsoft, como Hispasec
y el resto del mundo, también está equivocada en denominarlo como
"vulnerabilidad", y él sigue teniendo razón :)

Saludos cordiales,

Bernardo Quintero
bernardo@hispasec.com

Preguntas similare

Leer las respuestas

#1 Marc S. [MVP Windows]
02/02/2004 - 23:39 | Informe spam
Y porqué no le pones un mail directamente a él? Sabes las que vas a liar ahora, cariño?


Saludos
Marc
MCP - MVP Windows Shell/User
NOTA. Por favor, las preguntas y comentarios en los grupos, así nos beneficiamos todos.
Reglas de conducta de los grupos de noticias: http://support.microsoft.com/defaul...newsreglas

"Bernardo Quintero" escribió en el mensaje news:
Hash: SHA1

Al ver hoy el último parche para Internet Explorer, he recordado
la discusión sin sentido que mantuve en estos foros, donde el
Sr. JM Tella Llop se empeñó en decir que no existía la vulnerabilidad
de Internet Explorer que permitía ofuscar las URLs.

Después de echar por tierra varios argumentos, finalmente insitió
en que no podía denominarse "vulnerabilidad" en ningún caso. Llegó
a tachar a Hispasec de "amarillista" y alarmistas por denominarlo
"vulnerabilidad".

En el boletín de seguridad de MS de hoy
http://www.microsoft.com/technet/se...04-004.asp
podemos leer:

"A vulnerability that involves the incorrect parsing of URLs that
contain special characters. When combined with a misuse of the
basic authentication feature that has "username:password@" at the
beginning of a URL, this vulnerability could result in a
misrepresentation of the URL in the address bar of an Internet
Explorer window. To exploit this vulnerability, an attacker would
have to host a malicious Web site that contained a Web page
that had a specially-crafted link."
[...]

Parece que Microsoft coincide con mi punto de vista (como también
lo hizo el CERT/CC y cualquiera con criterio en seguridad), en
denominarlo como VULNERABILIDAD.

Espero que el sr. JM Tella Llop tenga a bien rectificar las
afirmaciones que sostuvo en estos foros, y que pudieron
confundir a otros usuarios.

En caso contrario, tendré que suponer que Microsoft, como Hispasec
y el resto del mundo, también está equivocada en denominarlo como
"vulnerabilidad", y él sigue teniendo razón :)

Saludos cordiales,

Bernardo Quintero




Respuesta Responder a este mensaje
#2 Jaume Vila
02/02/2004 - 23:56 | Informe spam
Quien tiene algo que explicar es Hispasec, vaya empresa de seguridad que
permite que se envíen virus a toda la lista de distribución. Sin excusas.


==Jaume Vila
AMD Athlon 2600+
ASUS A7N8X-Deluxe
2x256 Dual DDR Kingston
Hercules ATi 9200 SE
=="Bernardo Quintero" escribió en el mensaje
news:
Hash: SHA1

Al ver hoy el último parche para Internet Explorer, he recordado
la discusión sin sentido que mantuve en estos foros, donde el
Sr. JM Tella Llop se empeñó en decir que no existía la vulnerabilidad
de Internet Explorer que permitía ofuscar las URLs.

Después de echar por tierra varios argumentos, finalmente insitió
en que no podía denominarse "vulnerabilidad" en ningún caso. Llegó
a tachar a Hispasec de "amarillista" y alarmistas por denominarlo
"vulnerabilidad".

En el boletín de seguridad de MS de hoy
http://www.microsoft.com/technet/se...04-004.asp
podemos leer:

"A vulnerability that involves the incorrect parsing of URLs that
contain special characters. When combined with a misuse of the
basic authentication feature that has "username:password@" at the
beginning of a URL, this vulnerability could result in a
misrepresentation of the URL in the address bar of an Internet
Explorer window. To exploit this vulnerability, an attacker would
have to host a malicious Web site that contained a Web page
that had a specially-crafted link."
[...]

Parece que Microsoft coincide con mi punto de vista (como también
lo hizo el CERT/CC y cualquiera con criterio en seguridad), en
denominarlo como VULNERABILIDAD.

Espero que el sr. JM Tella Llop tenga a bien rectificar las
afirmaciones que sostuvo en estos foros, y que pudieron
confundir a otros usuarios.

En caso contrario, tendré que suponer que Microsoft, como Hispasec
y el resto del mundo, también está equivocada en denominarlo como
"vulnerabilidad", y él sigue teniendo razón :)

Saludos cordiales,

Bernardo Quintero




Respuesta Responder a este mensaje
#3 JM Tella Llop [MVP Windows] ·
02/02/2004 - 23:56 | Informe spam
A ver... sr. experto en seguridad, que ya que buscas un 'flame' acabas de encontrarlo )nos conocemos desde hace muuuuuucho tiempo.):

Exactamente el dia en la noche en el que microsoft y cert.org hicieron publico un bug del IIS de windows NT , hispasec como es costumbre publico el bug como noticia en su sitio... lo simpatico fue que ellos no se preocuparon de instalar el parche,jeje, sino que se limitaron a enviar la noticia en su boletin como "siempre".

15 de mayo del 2001!! para ser mas exacto!

http://www.cert.org/advisories/CA-2001-12.html

El tema fue que el servidor donde estaba hospedado hispasec.com tenia este bug que era el "decode" que permitia escalar directorios y ejecutar comandos... por lo que era muy facil meterse dentro de este server ya que ademas carecia de cualquier otra proteccion adicional como firewall, permisos de escritura en el wwwroot, etc, por lo que con un par de comandos esa misma noche subieron una pagina .html, algo "sorprendente" ya que se suponia que eran un grupo de seguridad!!!!

se la envio un link de esta pagina por mail a los de hispasec para advertirles de su error. recuerdo que ellos respondieron diciendo algo como "casa de herrero.. cuchilla de palo :)"

si mal no recuerdo fue el mismo bernardo el que conesto el mail :) como vez en esa epoca eran profesionales muy preocupados por la seguridad...


Con todo cariño de uno de vuestro sinceros admiradores por vuiestro amor a la verda, la etica, y sobre todo a sacar lascosas de quicio.


Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"Bernardo Quintero" wrote in message news:
Hash: SHA1

Al ver hoy el último parche para Internet Explorer, he recordado
la discusión sin sentido que mantuve en estos foros, donde el
Sr. JM Tella Llop se empeñó en decir que no existía la vulnerabilidad
de Internet Explorer que permitía ofuscar las URLs.

Después de echar por tierra varios argumentos, finalmente insitió
en que no podía denominarse "vulnerabilidad" en ningún caso. Llegó
a tachar a Hispasec de "amarillista" y alarmistas por denominarlo
"vulnerabilidad".

En el boletín de seguridad de MS de hoy
http://www.microsoft.com/technet/se...04-004.asp
podemos leer:

"A vulnerability that involves the incorrect parsing of URLs that
contain special characters. When combined with a misuse of the
basic authentication feature that has "username:password@" at the
beginning of a URL, this vulnerability could result in a
misrepresentation of the URL in the address bar of an Internet
Explorer window. To exploit this vulnerability, an attacker would
have to host a malicious Web site that contained a Web page
that had a specially-crafted link."
[...]

Parece que Microsoft coincide con mi punto de vista (como también
lo hizo el CERT/CC y cualquiera con criterio en seguridad), en
denominarlo como VULNERABILIDAD.

Espero que el sr. JM Tella Llop tenga a bien rectificar las
afirmaciones que sostuvo en estos foros, y que pudieron
confundir a otros usuarios.

En caso contrario, tendré que suponer que Microsoft, como Hispasec
y el resto del mundo, también está equivocada en denominarlo como
"vulnerabilidad", y él sigue teniendo razón :)

Saludos cordiales,

Bernardo Quintero




Respuesta Responder a este mensaje
#4 Ille Corvus
03/02/2004 - 00:33 | Informe spam
El Mon, 2 Feb 2004 23:24:51 +0100, "Bernardo Quintero"
escribio:

Hash: SHA1

Al ver hoy el último parche para Internet Explorer, he recordado
la discusión sin sentido que mantuve en estos foros, donde el
Sr. JM Tella Llop se empeñó en decir que no existía la vulnerabilidad
de Internet Explorer que permitía ofuscar las URLs.

Después de echar por tierra varios argumentos, finalmente insitió
en que no podía denominarse "vulnerabilidad" en ningún caso. Llegó
a tachar a Hispasec de "amarillista" y alarmistas por denominarlo
"vulnerabilidad".

En el boletín de seguridad de MS de hoy
http://www.microsoft.com/technet/se...04-004.asp
podemos leer:

"A vulnerability that involves the incorrect parsing of URLs that
contain special characters. When combined with a misuse of the
basic authentication feature that has "username:password@" at the
beginning of a URL, this vulnerability could result in a
misrepresentation of the URL in the address bar of an Internet
Explorer window. To exploit this vulnerability, an attacker would
have to host a malicious Web site that contained a Web page
that had a specially-crafted link."
[...]

Parece que Microsoft coincide con mi punto de vista (como también
lo hizo el CERT/CC y cualquiera con criterio en seguridad), en
denominarlo como VULNERABILIDAD.

Espero que el sr. JM Tella Llop tenga a bien rectificar las
afirmaciones que sostuvo en estos foros, y que pudieron
confundir a otros usuarios.

En caso contrario, tendré que suponer que Microsoft, como Hispasec
y el resto del mundo, también está equivocada en denominarlo como
"vulnerabilidad", y él sigue teniendo razón :)



Leido y segun la "casa madre" es una VULNERABILIDAD, agujero, fallo
de programacion, fallo de seguridad...


Cito:

"Casi todos prefieren la mentira por ellos descubierta a la verdad
encontrada por otros. (ROUSSEAU, Jean-Jacques)."

"La gran masa del pueblo... puede caer más fácilmente víctima de una
gran mentira que de una pequeña. (HITLER, Adolf)"

"La mentira más común es aquella con la que un hombre se engaña a si
mismo. Engañar a los demás es un defecto relativamente vano.
(NIETZSCHE, Friedrich)"



Ille Corvus. Hic et Nunc.

Filtrado(s) (Kill-file):
jm tella llop (2003.10.25)
Respuesta Responder a este mensaje
#5 Ille Corvus
03/02/2004 - 00:33 | Informe spam
El Mon, 2 Feb 2004 23:39:27 +0100, "Marc S. [MVP Windows]"
escribio:

Y porqué no le pones un mail directamente a él? Sabes las que vas a liar ahora, cariño?



Le tenemos que explicar el porque...


Ille Corvus. Hic et Nunc.

Filtrado(s) (Kill-file):
jm tella llop (2003.10.25)
Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida