Proponha uma correção, faça uma sugestão
O bug Dirty Cow ainda anda à solta no Android
O Dirty Cow é a mais recente falha descoberta no Linux. Este problema de segurança foi revelado no final do mês passado, mas tem estado neste sistema operativo há muitos ano.
Mas, como alertámos, o Dirty Cow está também no Android, onde pode ser explorado. A Google já o devia ter corrigido, mas aparentemente só lançará a correcção em Dezembro.
Esta falha tem um grau elevado de severidade no Linux por diversas razões. A mais importante é porque está há mais de 9 anos no kernel Linux, sem que tenha sido descoberta e corrigida. Esta idade leva a que muitos sistemas não possam ser actualizados e que, por isso, fiquem permanentemente expostos.
Ao ser explorada, e já o está a ser nos sistemas Linux, dá aos utilizadores acesso a contas com mais permissões, entre elas a de root, o que permite controlar depois o sistema.
Mas o Android está exposto ao Dirty Cow e a Google resolveu não incluir a correcção desta falha na última actualização mensal de segurança. O mais provável é que a Google precise de mais um mês para que possa corrigir a falha e que a lance para os parceiros enviarem as actualizações para os dispositivos.
O Dirty Cow está a ser usado para melhorar o Android
Mas nem tudo são más notícias no que toca ao Dirty Cow e ao Android. Esta falha está a ser activamente explorada para algo que muitos querem. Foi com o recurso ao Dirty Cow que foi conseguido fazer root aos novos smartphones da Google, vendidos na Verizon.
Muitos julgavam que a Google tratasse deste problema já este mês e aconselharam os utilizadores a retardar a actualização se pretendessem que os bootloaders do Android se mantivessem desbloqueados.
Não se compreende a razão da Google estar a demorar tanto tempo a resolver este problema grave de segurança, uma vez que a maioria das distribuições Linux têm já o Dirty Cow resolvido.
Este artigo tem mais de um ano
Loading ...
Onde anda a malta do Linux agora?
“uma vez que a maioria das distribuições Linux têm já o Dirty Cow resolvido”
Até parece que só há 2 ou 3 distros Linux…. 🙂
O Distro watch lista 790 distro de Linux
não estou a entender.
+1
A malta do Linux anda a ler artigos com mais relevância… 9 anos e nem uma exploração significativa até Outubro 2016? E resolvido ainda nesse mês em qualquer das principais distribuições. Isto é notícia? A verdade é que o Dirty Cow está resolvido desde a versão 4.4.26 e já vamos na versão 4.8.6! Este bug é também o primeiro(!) que afecta o Linux com alguma seriedade… Querem contar os do Windows e MacOS? O Linux é, de longe, o sistema operativo com alguma base de utilizadores significativa mais seguro que por aí anda.
nem uma? Isso é um tremendo exagero! Heartbleed?
“O Linux é, de longe, o sistema operativo com alguma base de utilizadores significativa”
2%??????????????????????
http://thenextweb.com/insider/2016/02/22/hackers-compromised-linux-mint-in-a-way-the-fbi-can-only-dream-of/
https://fossbytes.com/linux-distribution-hackable-serious-tcp-bug-report/
https://nakedsecurity.sophos.com/2016/02/22/worlds-biggest-linux-distro-infected-with-malware/
http://seclists.org/oss-sec/2014/q4/946
http://www.gfi.com/blog/most-vulnerable-operating-systems-and-applications-in-2014/
………..
basta pesquisar um bocado….
HeartBleed é uma coisa, Dirty Cow outra. Não confundir.
Aliás, anda aqui muita gente confundida…
O bola refere artigos sem qualquer relação com o Dirty Cow: O problema do Mint foi uma backdoor inserida numa ISO graças a um problema no WordPress; O side channel do protocolo TCP também não tem relação com o Dirty Cow e podia encontrar-se em vários sistemas operativos, não só em Linux; Depois repete o problema do Mint (eliminado em menos de dois dias, note-se); A questão com a offset2lib nem sequer afectava a maioria das distribuições, apenas algumas, pois não era parte integrante da mainline do kernel Linux; No último link mostra claramente que os mais inseguros são MacOS e IOS e nem repara que o número de vulnerabilidades graves no Linux é o terceiro mais baixo nem que o autor faz uma resalva especial neste caso devido ao facto de o kernel poder ser actualizado de forma independente nas várias distribuições.
Não basta pesquisar um pouco… saber ler é mais importante!
Quanto à percentagem de utilizadores de Linux, se falarmos em servidores Web serão cerca de 60% e se incluirmos nisto o Android, como faz o artigo, então nem se fala…
Vá meninos… Vão brincar um bocadinho lá fora. Faz-vos bem.
Claro, HeartBleed é uma coisa, Dirty Cow outra, em que ambos afectaram distribuições Linux.
Exacto. O “nem uma” que classificou de exagero referia-se à Dirty Cow e não ao Heartbleed. Daí a clarificação. Nenhum sistema é perfeito ou imune a explorações mas que o Linux é claramente mais seguro que os restantes (exceptuando alguns mais específicos) só nega quem tem alguma espécie de fanatismo. Windows e MacOS têm outras vantagens sobre o Linux.
Entretanto a Google vai corrigir a falha com 9 anos daqui a um mês, mas à Microsoft deu apenas 7 dias…
A M$ devia era publicar 1 tutorial, passo a passo de como explorar isto.
Não te preocupes, porque um erro com 9 anos, já deve estar bastante difundida a sua utilização.
Demorar esse tempo todo para corrigir é perfeitamente normal e aceitável, as coisa demoram tempo a ser corrigidas.
O que inconcebível e inaceitável é a M$ demorar 1 semana para corrigir 1 falha.
O pessoal que quer defender a MS fica com esse falatório idiota.
Quando falhas são descobertas, um comportamento ético aceitável é comunicar o fato ao responsável e divulgar o erro para que as pessoas que usem os sistemas afetados saibam do risco e busquem se proteger, além disso pressionem os responsáveis para que corrijam o erro.
Recentemente, há poucos anos, empresas como a MS, resolveram pedir um tempo para corrigir e testar os patches antes da divulgação do bug de segurança, ou seja, a pessoa descobre a falha e fica calada durante um tempo, isso é um favor que se faz ao responsável pelo sistema, ninguém é obrigado a isso, a pessoa que descobriu pode achar que é mais útil divulgar a falha o quanto antes, por algum motivo. Mas, para quem aceita tal acordo, esgotado o prazo pode divulgar a falha, não há o que se reclamar. Além disso o tempo pode não ser o mesmo, quem tem o poder é quem sabe da falha e portanto é quem pode ou não dar prazo, e se der o prazo válido é o que a pessoa quiser e não o que a empresa responsável estipula.
Então é um erro idiota se dizer que a Google exigiu que a MS consertasse o bug em 7 dias, este prazo é para a DIVULGAÇÃO DA DESCOBERTA do bug, não têm nada a ver se a MS corrigiu ou não o bug, se ela corrige no prazo ou antes, tanto melhor para ela e para todo mundo afetado.
Quanto ao bug de 9 anos do kernel Linux, cabe dizer que a falha foi divulgada a pouco tempo e foi corrigida pelas diversas distribuições GNU/Linux, se a Google não corrigiu ainda, deve ser porque está a testar melhor as correções e aparando as arestas de uma atualização assim, mas não têm nada a ver com o prazo para correção da falha, pois não existe tal prazo, o prazo que existe é o de divulgação da falha e a falha foi amplamente divulgada.
Vê o meu comentário acima com as pesquisas, demorei 30 segundos a encontrar notícias de falhas em Linux…. 🙂
Niguem está a defender a defender a M$ o pessoal simplesmente está a comentar que tudo deve ser tratado da melhor forma independentemente da empresa.
Idiota é olhar para o mesmo problema de forma diferente dependendo da empresa. Infelizmente á muito que o pessoal olha para a tecnologia como tecnologia. Agora as coisas sao boas ou más dependendo de quem as faz e não de como as faz e isso não faz sentido.
Todos acusaram (bem ou mal) a M$ por ter demorado muito tempo a corrigir um bug, mas neste caso como é outra empresa já acham bem e existe alguma razão por trás. Se a google demora 1 mes a corrigir um bug e isso é aceitável entao também tem que ser aceitável para qualquer outra empresa. Se nao é aceitável a M$ demorar 1 semana a corrigir entao também não pode ser aceitável para todas as outras.
Já parece aquele pessoal que pensam que o projeto vai ser muito bom por utilizar ferramenta X e depois vamos a ver nao funciona porque percebem nada de arquitetura de software.
A questão foi que a Google considera “muito tempo” 10 dias e demora mil anos a resolver um problema que já foi resolvido. Chama-se duplo criterio.
O pessoal está mais preocupado a defender marcas que factos.
Eu já aprendi, contra argumentos nao há factos
É engraçado que quando aparece uma falha no mundo Linux ja vira noticia rsrs, isso se deve ao fato que não se tratar de algo muito corriqueiro, as falhas do Windows por exemplo dificilmente aparecem artigos e noticias em massa, uma vez que todo dia são encontradas dezenas e mais dezenas de falhas nesse sistema operacional, muitas dessas falhas se quer são apelidadas, no linux as falhas recebem nomes, Shellshock, Heartblead, Dirty Cow, e o mais importante também é a velocidade com o qual essas vulnerabilidades são sanadas em sistemas Open source, mal se divulga a vulnerabilidade e ja se sai uma atualização para corrigir a mesma, no quesito segurança o mundo OpenSource esta a frente.
Gosto desta frase “A Google já o devia ter corrigido, mas aparentemente só lançará a correcção em Dezembro.”
Como se a actualização contemplasse todos os dispositivos android…
Pra e, Dezembro sai a atualização, e lá para Dezembro de 2020 é que chega a 50% dos telemóveis, quando os donos comprarem um novo.l.
Em termos práticos, será mesmo assim.
Etica so quem não a tem é que se dedica a …
sim a google le os teus emails para ganhar $$$$
e o novo android vai corrigir isso, (bugs),
Todos os dias são detectadas falhas, ios macos, windows, andoroid, linux, bsd, etc……
a não ser que sejam FP semper deram 90 dias para corrigir por a falha como dominio publico so mesmo da google.