EtiquetaBug

El bug que hace cabum tu cacharro con iOS

Unix, el problema y la solución a todas las cosas. El problema porque este es un bug muy grave para dispositivos con procesador A7 en adelante, es decir del iPhone 5S en adelante.

Poner la fecha del 1 de enero de 1970 (tiempo en mili segundos usado en Unix) hace que tu dispositivo se bloquee y que no se pueda reparar. Es decir, hace que tu dispositivo no vuelva a arrancar. La unica solución es por hardware, quitando la batería y volviéndola a poner a modo que cambie la fecha.

Por eso mismo, no lo hagáis, aunque ya sabéis de otro problema. De paso, es un problema dentro del procesador, es decir, es un problema de hardware de concepción del procesador que no tiene solución ninguna. Lastima para nosotros que Apple no nos permita abrir y desconectar la batería, ventaja para ellos porque la solución es sencilla y el dinerito les va a caer a chorraca.

Más información: iClarified

OSX es el más seguro. Spoiler: NO

gatekeeper

Desde pequeñitos os han dicho que OSX es el sistema más seguro del mundo mundial y parte de los extra-radios. Los que han tenido que justificar este mantra han usado el comodín de la ignorancia de a quien se lo contaban usando una palabra que ni ellos mismos conocen pero que es tan complicada que hacen callar al resto: Unix.

Seguir leyendo

No es un bug, es un feature

La de veces que vamos a oír el titulo del post unido a “pues deshabilita Siri y ya esta”, como si así el problema estuviera resuelto (el problema de que el bug existe).

Pero si, no es un bug, es un feature.

Thunderstrike 2, lo que no os han contado de lo que no os han contado

Captura de pantalla 2015-08-05 a las 11.49.48

Si veis nuestra timeline de Twitter llevamos unos días poniendo más artículos de los normal acerca de este bug que han encontrado en todos los equipos que tienen una EFI. Principalmente para que tengáis información y os preocupéis (o no) aunque si, principalmente para indicar a la gente que su sistema, ese al que ponen tantas medallas, al final, no es tan seguro como piensan.

Seguir leyendo

Reboota, reboota y en tu culo explota

Pues nada, un bug en el “revisador” de certificados SSL existe en iOS hace que tu cacharro se reinicie. Lo mejor de todo es que se puede inyectar a través de una Wifi aunque no te conectes a ella, gracias al “buscador” de redes que todo sistema tiene y hace de vez en cuando.

Seguir leyendo

Parche para el NTPD

Captura de pantalla 2014-12-23 a las 9.51.50

Amigos, aunque no lo sepáis, como toda maquina Unix, tenéis mas puertos abiertos de serie en vuestro equipo de los que estáis pensando. Por eso, si sois unos paranoicos de “la seguridad” (recordad que el día que quieran entrar, van a entrar si o si) que os ponéis histéricos porque se encienden las luces de vuestro disco duro cuando “no esta haciendo nada el equipo” ahora mismo estaréis, no solo revisando los puertos de vuestro equipo compulsivamente, sino llamando a vuestro a vuestro abogado para denunciar a Apple porque “esto no os lo ha dicho”.

Seguir leyendo

RootPipe el bug que nos importa un badajo

Pues eso amigo, un gravisimo bug que afecta al amigo Yosemite (y anteriores, no creáis que os vais a librar) permite a cualquier usuario convertirse en root (administrador de la maquina), como podéis ver en el video.

Seguir leyendo

El codigo swift de la muerte

Captura de pantalla 2014-06-12 a la(s) 22.24.15

De, “la respuesta a una pregunta que nadie hizo a Apple” porque nadie les ha pedido que creen un lenguaje nuevo, nos llega “el compilador esta tan mal hecho que se peta con este código“.

Vía: Twittercoi

El bug que da un vuelco al corazón – Actulización

Captura de pantalla 2014-04-09 a la(s) 20.12.30

La que se ha montado hoy por un bug. Si hombre, un bug que le han puesto un nombre rimbombante debido a lo que se refiere.

La desinformación que ha salido hoy en las noticias de la televisión ha sido tal que más que informar esta creando un panico del copon. Y si esto unimos los esparcidores de mierda, que traducen mal el origen o, como este esta en ingles, hacen unos bolos de lo que leen por ahí sumando a lo que han oido en el metro y una piza de lo repetido en TV tenemos montado un bollo muy grande.

Ante todo, primero indicar que es un simple bug, “peligroso” hasta cierto punto ya que, realmente, lo que permite es leer sin restricción una cantidad de kb de una llamada a un servicio que use OpenSSL.

En palabras más sencillas, OpenSSL es una librería que se usa para comunicaciones seguras y cifradas. Se usa para varias cosas, desde cuando abrís una pagina web segura (incluido algún que otro servicio web) hasta cuando os conectáis por SSH a un equipo. Pero la gente solo ha puesto el grito en el cielo, parece ser por las webs sin entender que hay más servicios relacionados.

Ahora que estais nerviosos ya que parece que hasta las cajas de leche usan SSL, vamos a rebajar el nivel de nerviosismo.

Captura de pantalla 2014-04-09 a la(s) 20.48.26

El bug afecta a una versión concreta (bueno un rango) muy pequeños de la OpenSSL. Es decir, que quien no tenga instalado en su servidor OpenSSL 1.0.1 esta afectado salvo la versión g. Es decir, que es un rango muy pequeño.

Y aun siendo muy pequeño (el rango con esa versión), mucha gente lo tiene instalado sin la extensión problemática. Porque, amigos, el problema no es del servicio en concreto sino de aquellos que han instalado una “extensión” llamada heartbread (de ahí el nombre del bug).

Vamos, que tirando de números, no llega ni al 18% de los equipos que tienen instalado OpenSSL y que puedan ser rastreables.

¿Y como se rastrean esos equipos?. Pues principalmente son aquellos que tienen un servidor web, y que ademas, usan SSL para las comunicaciones, vamos que van con “HTTPS”.

¿Y como se puede solucionar?. Sencillo. Primero revisad (si eres el administrador o root de la maquina que tiene un servicio que usa OpenSSL) que versión tienes instalada. Para ello:

openssl version

Esto os escupirá la versión de OpenSSL que tenéis instalada.

Si tenéis la versión 1.0.1a-f (de la a a la f) aun no tenéis que preocuparos. Pensad si tenéis algún servicio que este usando comunicaciones TSL, vamos que use SSL. Si no lo tenéis, no os tenéis que poner en modo pánico ya que no os afecta, pero si es conveniente que lo corrijáis.

Si tenéis equipos con OSX como servidores, estad tranquilos ya que Apple es un poco lenta en la adopción de estas cosas y todos usamos la versión 0.9.8y desde hace muchos años sin previsión (a no ser que hayáis hecho un port y/o os lo hayáis compilado a mano) de que se actualice en breve.

Si lo usáis y estáis afectados, simplemente, actualizad vuestra versión. ¿Como? pues como seguro que habéis tirado por la via de en medio y lo habéis instalado vía vuestro gestor de paquetes favorito, tenéis que saber que en la mayoría de las distribuciones han puesto por defecto la versión 1.0.1g que no esta afectada.

Vamos, vía vuestro amigo yum, apt-get o lo que narices use vuestra distribución, actualizaros. Y aprended a estar actualizados siempre con estas cosas ya que aunque lo nuevo trae nuevos bugs, se corrigen los viejos.

Si, por desgracia, vuestras aplicaciones necesitan por fuerza, por el ecosistema usar una versión de las que estan afectadas (y por lo tanto, chico listo, lo has compilado a piñon -mi enhorabuena, porque asi es como se trabaja-) siempre podeis recompilarlo con la opción que elimina “el extra” heartbread.

-DOPENSSL_NO_HEARTBEATS

Le quitáis este feature y en los 3 minutos que tarda en compilarse e instalarse estará solucionado. Eso sí, recordad, si lo usáis con otro servicio, es decir, si tenéis otro servicio que depende del OpenSSL de reiniciarle para que coja la nueva versión.

¿Y como ha pasado esto?. Pues sencillo, como he indicado antes los administradores de sistemas (incluido tu, so vago) son unos vagos que tiran de repositorios de paquetes donde esta ya compilado con tal de no hacer algo que muchos tenemos el culo pelado: compilar las cosas.

Cuando compilas, lo dejas “mas fino” para tus necesidades (y señores, el extra del heartbread) no hace mucha falta para muchos de los servicios, ya que es una especie de hamereo o reintento o descriptor que indica que no cierre la conexión, un keep alive ya que las comunicaciones por SSL tienen lo que se llama una terminación SSL y esto es un parche para “no cerrar” la conexión (que por cierto, no había explicado antes que es). Por eso se llama “latido”.

Y no solo lo dejas más fino, sino que sueles estar más atento a actualizaciones o mejoras.

Recordad, nunca una cosa que sirve para todos, realmente sirve bien para todos, ya que se hace a máximos.

Resumiendo: No os preocupeis tanto, que aunque un bug grave, no es un bug importante ni que haya sido muy explotado. No os emparanoies con “cambiar ahora corriendo las contraseñas” si no tenéis la sana costumbre de cambiarlas cada cierto tiempo y esperad a que el sitio web, tras comprobar que esta afectado y que lo ha solucionado (porque cambiarla si no lo ha solucionado es tonteria) os avise.

Y si eres un administrador de sistemas. Chico, revisalo, que no cuesta nada y estate actualizado. Pero sobre todo, recuerda, que si un servicio es fundamental, compilalo tu mismo y ajustalo, que no cuesta nada y quedas muy bien, ademas de que es por eso por lo que te pagan.

Link: CVE
Vía: Blogs asustadizos


Actualización del 11 de abril de 2014

En este comic lo explican bastante bien, pero recordad que solo devuelve 64Kb máximo… que os pueden parecer pocos, pero realmente, en texto es un pasote.

Otro bug de iOS 7 de si te mangan el iPhone dalo por perdido

Pues nada, un español o al menos un hispanohablante, exactamente Miguel Alvarado (porque tiene iOS en castellano) ha descubierto un nuevo bug de iOS7 de esos de que, aunque lo protegais con iCloud (el usuario y la clave) vais dados porque se puede quitar.

Normalmente, los fanboys sacan pecho indicando que si pones tu cuenta, queda asociado y aunque restaures te pide la clave del usuario de iCloud al que hayais asociado el iPhone.

Si antes había un bug que permitía saltartelo, ahora se ha descubierto otro que nos permite quitar dicha cuenta. Con lo que, se puede “restaurar” el dispositivo y venderlo (si te lo roban) sin que, el que lo compre muy barato aparezca en los foros con las excusas más tontas de “se me ha olvidado la contraseña” unidas a “me vendió el dispositivo, esta su contraseña y ahora no me puedo poner en contacto con el”.

¿Cual es la forma de protegerse?. Bueno, pues como hay que reiniciar el dispositivo para poder borrar la cuenta, poned una clave al dispositivo de forma que, si no te la sabes, no podrás volver a las preferencias para borrar la cuenta de iCloud.

No es la mejor solución, pero es una barrera más que se puede poner. Ya que si no la elimina, al menos podréis bloquear el dispositivo y eliminar los datos (que no la cuenta) de forma remota.

Pero repetimos, es un bug muy grave que esperamos que en la próxima versión este totalmente solucionado.

Vía: Youtube, Algun blog que lo contara y tal

Saltate la contraseña de iCloud de tu iOS 7

Vaya, esperemos que ahora tengáis cuidado para que no os roben el dispositivo con iOS porque aunque tengáis puesta la contraseña de iCloud va a ser que hay un bug para eliminar la cuenta… y si eliminas la cuenta (o desactivas el Find my Phone), al restaurar no pedira cuenta alguna y… oh wait, pueden restaurar tu telefono y venderlo a un precio irrisorio por eBay… y vosotros darlo por perdido.

Este bug es muy grave, pero muy grave por lo que significa y, obviamente, aun riendonos por debajo de Apple (por ir de listos) esperamos que se solucione con la siguiente versión del sistema o, mejor aun, mediante un parche OTA que salga instantaneamente.

Vía: iFans

Llamadas gratis con el iPhone de otro

Trifero, a traves de Appleinsider, nos informa de otro bug encontrado en el reciente iOS7 que nos permite llamar gratis si el iPhone es de otro, a traves de las llamadas de emergencía.

Vamos, que si el iPhone de otro esta bloqueado por lo que sea, se lo coges y haces “este truqui” denominado “soy el pesado que quiere que llames”… parece ser que al final llama. Para ti gratis, para quien has cogido el iPhone, no.

Ya sabeís, esas cosas de las versiones redondas con Apple, nosotros como conejillos de indias y que seguramente en la 7.0.1 que para el iPhone 5S y 5C se han apresurado en sacar, sigan estando.

Gracias Trifero por avisarnos.

Más información: Appleinsider