Portada
Hace 7 años | Por --150-- a teletext.zaibatsutel.net
Publicado hace 7 años por --150-- a teletext.zaibatsutel.net

ASUS publica actualizaciones autómáticas de la BIOS/UEFI via HTTP sin verificación alguna (ENG)

 teletext.zaibatsutel.net

El sistema de actualizaciones de ASUS "LiveUpdate" descarga nuevas versiones de la BIOS/UEFI y de programas vía HTTP, sin verificación ni autenticación de la fuente ni del contenido, permitiendo su ejecución como usuario en el grupo NT de “Administradores”.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 2k 53

Comentarios

D

#8 ¿Que ASUS no haya decidido incluir un sistema de autenticación para descargar BIOS es culpa de Windows? Ok lol

V 31
K 238
zeehio

#13 Quizás más que culpa de Windows podemos decir que es culpa de que no sea software libre.

Si se detecta una chapuza así en un programa libre tienes un parche (que lo soluciona --o lo inhabilita hasta que se propone una solución adecuada-- en un plis plas)

V 0
K 6
osiris

#31 ah sí? Eso será si alguien se digna a hacerlo, no? Que un software sea libre no significa que hordas de ingenieros estén supervisandolo constantemente.

V 1
K 18
L

#37 Cuando se hace pública una vulnerabilidad de un software open source, suele ocurrir que sí que hay hordas de programadores que les interesa parchearlo. Ya sea por altruismo, porque usan ese software o símplemente por hacer currículum...

V 1
K 17
osiris

#42 Te falta indicar en la ecuación que el software debe ser famoso, al software libre que he hecho yo no vienen las hordas de programadores a parchearlo, por mucho que reporto bugs.

V 1
K 21
L

#46 Si es un proyecto interesante siempre hay gente interesada, tal vez no lo has movido en los ámbitos adecuados. Por ponerte un ejemplo, hablar con un profesor de universidad y que invite a sus alumnos a participar en el proyecto. Te doy la razón en que debe haber motivación para invertir tu tiempo en parchear software ajeno ;D

V 1
K 17
zeehio

#37 No he dicho que los errores se encuentren antes ni que haya menos, de hecho hay mucho software libre que necesita un mantenimiento que no tiene. Por algo empiezo el párrafo bajo la condición "Si se detecta".

Lo que he dicho y mantengo es que si una persona como la que ha escrito el artículo detecta este fallo, viendo el esfuerzo que ha puesto en informar del problema y la dificultad que intuyo supone resolverlo, creo que de haber sido software libre esta persona podría haber escrito el parche y ofrecer una solución al problema.

V 0
K 6
osiris

#43 En mis programas libres hay chapuzas peores reportadas y no viene nadie a arreglarlo en un pis pas.

V 0
K 10
zeehio

#47 ¿Puedes poner algunos enlaces a las chapuzas peores a una "vulnerabilidad de ejecución de código arbitrario como administrador que afecta a la gran mayoría de portátiles ASUS en el mercado" de tus programas libres? No conozco tus múltiples casos, supongo que eso te sucede porque tus usuarios no tienen los conocimientos técnicos necesarios para enviarte parches... aunque me sorprende, teniendo en cuenta la cantidad de usuarios que necesitas tener para que sea una chapuza peor a la que ha hecho ASUS.

V 0
K 6
osiris

#50 tengo chapuzas mucho peores que descargar un firmware vía HTTP y no HTTPS.
El nivel de chapucerismo no lo califico según el volumen de usuarios.


Volviendo al tema, lo que yo intengo explicarte sin éxito es que por ser software libre en un pispás no hay parches solucionando posibles errores.
Lo hay si (además de ser libre) el proyecto es grande y hay desarrolladores activos.
Mis proyectos son libres pero no grandes ni tienen desarrolladores más allá de un ratejo mío, por eso por muchos bugs, no los arregla nadie.

V 0
K 10
D
editado

#13 ¿No sabías? TODO es culpa de Windows, o de Microsoft. Los fabricantes de hardware siempre han sido inocentes de toda la vida. Todos los drivers que hacen, y el software de actualización, son obras maestras de la seguridad y la compatibilidad, pero luego viene el malvado Windows y lo corrompe todo.

V 1
K 15
parrita710

Joder que poner un certificado autofirmado son 5 minutos. Y si te sobran otros 5 minutos con letsencrypt son gratis

V 17
K 165
D
editado

#2 Una bios no es una cosa que existan muchos expertos en manipular y lleva un header que o esta bien o el portátil la rechaza de hecho esa mierda de header el lo que hay que pelar si quieres recuperar un portátil mal flasheado.
Antiguamente te bajabas la bios la metías en flasheeador y te olvidabas ahora tienes que quitar la vieja ver de recuperar el slic y encima pelearte con el header.
Yo aun no he tocado una de windows 8-10 que se supone trae la key de windows en la puta bios.

V 1
K 1
D

#5: Cierto, tú mismo lo dices, las actualizaciones de firmware son lo de menos. Léelo, es mucho más interesante de lo que parece.

V 2
K 29
swapdisk

#5 La bios en sí misma no es lo peor (que es gordo) es que se puede hacer que ejecute lo que se quiera metiéndolo en una update falsa y eso da un poco de miedito.

V 0
K 7
anv

#16 Y que se ejecuta con priviliegios de administrador.

V 2
K 8
parrita710

#5 Hacer un XML que apunte a un troyano como si fuese una update está al alcance de cualquiera y ese es el verdadero peligro.

V 1
K 14
D
editado

#19 Tienes el asus update, el hp update, el lonovo update, el acer update, son un kilo de esa mierdas de fabricante ,yo suelo dejar la partición recuperación y formateo la mierda de fabrica.
La noticia da entender que las bios de los servers no están firmadas cuando no es cierto.
Luego lees el articulo y es la basura de fabrica.

V 4
K 35
parrita710

#21 Esa basura de fábrica que usan un montón de usuarios.

V 1
K 23
ann_pe

#24 #23 Incluso podría ser que esas instalaciones automáticas no se puedan desactivar o sea muy complicado, como pasó con Lenovo:


Cazan a Lenovo instalando bloatware desde la BIOS de sus laptop

Hace 8 años | Por darsena a es.gizmodo.com
Publicado hace 8 años por darsena a es.gizmodo.com

Cazan a Lenovo instalando bloatware desde la BIOS ...

 es.gizmodo.com

V 2
K 28
D

#25 #24 Muchas gracias por la información. ¿Alguna web que indique como desinstalar las live updates y aplicaciones de fábrica? ¿Se puede hacer con conocimientos básicos?

V 0
K 6
ann_pe

#38 Sí, al contrario que lo de Lenovo que comentaba en #25 en este caso basta con desactivar las actualizaciones automáticas del Liveupdate, o desinstalar Liveupdate como cualquier otra aplicación desde el Panel de control.

Lo de Lenovo era más complejo porque la aplicación que lo hacía era la BIOS, que es "imborrable".

V 1
K 16
D

#44 ¡Muchas gracias! Ya está hecho. Uno siempre intenta estar informado, pero hay cosas que necesitan de la ayuda de gente que sepa.

V 1
K 17
Azken

#21 Totalmente de acuerdo. Tengo un portátil lenovo (YOGA). Desde el primer día, lo notaba lento así que reinstale windows 10 (uno limpio) y el cambio ha sido brutal...

V 0
K 10
HORMAX

#2 Si sigues con Windows seguirás soportando esas gili... de por vida...

V 5
K 6
rupper

#2 Para un profesional, o en una startup, son 5 minutos, en una empresa como Asus requiere un proyecto de 2 años con 3 equipos de 25 personas.

V 12
K 88
Mister_Lala

Esta noticia ASUSta.
En la cara no, por favor.

V 17
K 123
patadevaca

comment_19633667 media
V 8
K 76
D

#1:

V 0
K 14
alexwing
editado

#6 Pues entonces no se donde esta el escándalo, los de sistemas piensan que la seguridad esta en las redes, cuando seguramente sea más seguro un buen fichero firmado que el https.

V 2
K 24
ann_pe
editado

#3 #20 En la noticia dice que este sistema de actualizaciones no comprueba ninguna firma para instalar un ejecutable.

V 2
K 32
D
editado

Menos mal que de la marca "Asus" solo tengo la carcasa del PC.

V 1
K 22
m

¿Error por casualidad o intencionado para pwnearnos mejor luego?

V 1
K 22
redscare

#4 Estupidez a secas. Haciéndolo bien siempre puede "pwnearte" si quieren igualmente ya que son ellos quienes firman y encriptan sus updates.

V 1
K 19
David_VG

#27 lo conozco de sobra, pero lo que se transfiere no es una BIOS. Es un zip con un bat más lo que debiera de ser (pero no tiene porque) una BIOS

V 1
K 19
D
editado

#28 La mierda esa va pegado al archivo .fd luego esta el flasher que usas el de bios o el típico dos /windows pero que va incrustado en la puta bios es si o si si lo intentas meter la bios a pelo ya te avisa que el fichero es mas largo que la capacidad de la spi flash ,hablo de programadoras externas.

V 1
K 23
David_VG

#29 Por lo que veo no has leído el artículo y hablas por hablar.

El artículo no habla del formato de las BIOS, si no del protocolo de actualización en línea.

Estas mezclado lo que sabes sobre formatos de binarios de BIOS e incluso de métodos de flasheo y no es algo de lo que se trate el problema analizado hoy.

V 0
K 9
D

Acabo leer y es sobre la mierda de asus live update que ni dios en su santo juicio lo usa pensé que era el autoupdate que traen en bios a petición.
De esas mierdas todos lo traen y es recomendable desintalarlos ya que solo dan problemas.
Encima actualizaciones de bios por dos o por la propia bios y testeando que no tengan problemas antes.

V 1
K 17
manualmenara

Sabiendo que al mínimo fallo en la actualización de la bios y tiras la placa a la basura, pero no seamos mal pensados ehh

V 1
K 16
angelitoMagno

#6 El negativo ha sido por error, disculpa

V 0
K 15
Candidatas
7
meneos
tecnología ¿Cuántos coches eléctricos hay en España?
11
meneos
tecnología Una capa de oro de un solo átomo: los investigadores de LiU crean goldene (eng)
18
meneos
tecnología Se suponía que las escuelas simplemente bloquearían la pornografía. En lugar de eso, sabotearon las tareas escolares y censuraron los sitios de prevención del suicidio (EN)
13
meneos
tecnología El ex presidente de Blizzard propone dejar una propina de 10 o 20 dólares a los desarrolladores por sus juegos
6
meneos
tecnología Un estudio confirma que a ChatGPT se le da bien hackear
9
meneos
tecnología Sí, has oído bien, se ha filtrado una nueva versión de Windows 7
11
meneos
tecnología Cápsula del tiempo: El clipart de principios de los 90 capturó una época (ENG)
9
meneos
tecnología Elon Musk comenzará a cobrar a todos los nuevos usuarios de X, antes Twitter, por publicar en la red social
7
meneos
tecnología El 87% de los compradores de un Tesla en E.E.U.U volverían a comprárselo
4
meneos
tecnología Intel Construye El Sistema Neuromórfico "inspirado En El Cerebro" Más Grande Del Mundo: Hala Point + Buscando Una IA Más Sostenible
8
meneos
tecnología Tiktoktives Cap.2
20
meneos
tecnología Starlink tiene miles de cámaras instaladas en el espacio. La gente lo ha descubierto porque han grabado el eclipse
15
meneos
tecnología Paga 14.000 euros por 10 horas de trabajo a un artista que utiliza IA y se emociona al asegurar que "nadie está a su nivel"
5
meneos
tecnología Mario conoce a Pareto (ENG)
16
meneos
tecnología Dwarf Fortress: La simulación más compleja jamás creada
6
meneos
tecnología Cómo verificar la autenticidad y el origen de fotografías y vídeos
6
meneos
tecnología GPT-4 Turbo llega a los usuarios de ChatGPT Plus. Ahora sus respuestas son más directas y sufren menos verborrea
14
meneos
tecnología El dron que vuela eternamente chupando electricidad de los tendidos eléctricos
12
meneos
tecnología Así será el primer ejercicio militar en el espacio de la Fuerza Espacial de EE.UU
alexwing

Bueno podría tener una verificación en el fichero y no ser necesaria en el protocolo, aunque no estaría demás.

V 0
K 11
D

#3 La tiene.

V 2
K 3
David_VG

#6 No la tiene. En ese usaste puede no haber una BIOS.

V 0
K 9
D

#26 http://wiki.phoenix.com/wiki/index.php/EFI_TABLE_HEADER

V 0
K 8
Nova6K0
editado

Este tipo de actualizadores, como toda la mie... bloatware es mejor desinstalarlo. Es más cualquier programa que necesite conectarse a internet debería estar totalmente prohibido que use conexiones no seguras e incluso impedir su comercialización/difusión/distribución.

Salu2

V 0
K 11
D

#35 ...y es entonces cuando se empieza a hablar de la "mafia" de Microsoft y su Windows Update, la "extorsión" de su sistema de verificación y firma de drivers, la "posición dominante" que tiene en el mercado de PCs... y acabamos con que los fabricantes de hardware, a los que les importa una mierda la seguridad o estabilidad de los sistemas de los usuarios, acaban ganando batallas para poder meter sus mierda-instaladores de las últimas versiones de drivers plagados de fallos.

V 2
K 22
Waskachu

Asus es casta.

V 0
K 10
D

Estas noticias... ¿influyen a la gente no entendemos nada de eso? Porque yo me he quedado igual.

V 1
K 9
D
editado

#17 Básicamente sí, porque seríais los más afectados. Un usuario "avanzado" o "profesional" normalmente desinstalará todo este tipo de live updates y aplicaciones varias del fabricante, o reinstalará windows de 0 sin los programas del fabricante.

Un usuario que simplemente compra el ordenador para usarlo y no pretende conocer al detalle estas interioridades, que solo quiere hacer su trabajo o disfrutar de navegar, jugar, ver videos, etc, no se preocupa de estas cosas, se presupone que todo viene "bien" del fabricante. El fabricante, Asus en este caso, lo que está haciendo es descargar actualizaciones por una vía completamente insegura, y después instala estas mismas actualizaciones como un superusuario, sin control alguno, de forma que a) es facilmente manipulable por terceros para meterte lo que ellos quieran, b) podrían tomar el control de tu ordenador y robarte datos con una aplicación malintencionada, y tú ni te enterarías, c) lo peor de todo es que el usuario no ha hecho nada malo, ni cometido un error, se ha fiado del fabricante.

En el artículo demuestra lo fácil que es engañar el liveupdate para inyectarle cualquier aplicación como una actualización crítica, y que sea instalada automáticamente sin tu permiso ni conocimiento.

V 6
K 43
D

Esto con Apple no pasa

V 0
K 8
D

ASUStaviejas

V 0
K 7
zeehio

Tus proyectos no tienen el tamaño ni los usuarios que tiene ASUS LiveUpdate. No me convence tu argumento porque tu caso y el de la publicación no se parecen. El punto del que pretendo convencerte sin éxito es que creo que un software como ASUS LiveUpdate (distinto a tu software) sí recibiría los parches (que tu no recibes), entre otros motivos por su impacto y su volumen de usuarios.

Y tienes razón: los errores no se arreglan solos y hay mucho software libre abandonado que no se arregla. Pero no estamos hablando de cualquier software tuyo o mío, hablamos de un software que viene preinstalado en todos o casi todos los portátiles ASUS.

En mi caso sí encuentro y sí corrijo problemillas [1](https://bugzilla.gnome.org/show_bug.cgi?id=707641), [2](https://github.com/nltk/nltk/pull/1141), [3](https://github.com/dragoon/django-selenium/pull/26), [4](https://github.com/metashare/META-SHARE/pull/265), [5](https://github.com/dgrtwo/broom/pull/51), [6](https://github.com/gforge/htmlTable/issues/4). Y también me han corregido algunas cosas en algún proyecto [7](https://github.com/zeehio/parmap/pull/2), [8](https://github.com/zeehio/parmap/pull/6).

Los proyectos en los que he contribuido son mucho menores que ASUS LiveUpdate, por eso creo que para algo como ASUS LiveUpdate sí habría parche si fuese libre (quizás podría contribuirlo yo mismo).

V 0
K 6
d

vamos a morir todos!!

V 0
K 6