Barrapunto

Estos tipos han dicho a las claras que van a vender la información al mejor postor. Presentar la vulnerabilidad no tiene el sentido habitual, sino que más bien parece una forma de anunciarse a los spammers y otros indeseables (se me ocurren unos cuantos) que pudieran estar interesados.

Por otra parte, si la vulnerabilidad está en el intérprete de JavaScript, no me extraña que sea difícil arreglarla. Firefox está hecho en JavaScript. Aunque existe una capa más baja programada en C++, la interfaz de usuario de Firefox (y SeaMonkey, Thunderbird y demás) está hecha con XUL, cuyo lenguaje de programación de serie es JavaScript.

No existe separación de privilegios ni "sandbox" real para el JavaScript, según han contado algunos programadores de Mozilla.

Me pregunto cómo se puede contener una amenaza así mientras se arregla un problema estructural.

para usar Internet Explorer, Firefox ha conseguido, después de varios años, ponerse a su altura.

Y antes de que alguien diga que si Internet Explorer tal o cual; y tú más [secunia.com].

No tenemos que extrañarnos por el hecho, estaba cantado que algún día iba a surgir un fallo de este calibre y que los iba a coger con los pantalones bajados.

¿Ésto hace que el programa sea inferior a otro? No. La forma en la que decidan arreglar el problema será lo que demostrará que empresa está más preparada para competir.

¿Acaso ahora nos intenterán vender un Firewall por "nuestra" seguridad cuando el fallo realmente está en el navegador?

...Llamándose "Window" la jefa de seguridad... (je, je)

parece que se han,revelado algunos detalles sobre la forma de aprovecharla, lo que lo convierte en un 0 day.

Tu si que sabes lo que es un 0day :)

¿Afecta esta vulnerabilidades a familia como epiphany y galeon?

PD: Si algo se dice en el artículo pido perdón de antemano, pero es que no tengo tiempo de leerlo :)

El equipo de seguridad de Mozilla ha investigado el problema y sólo ha conseguido colgar el navegador: http://developer.mozilla.org/devnews/index.php/200 6/10/02/possible-vulnerability-reported-at-toorcon / Por cierto, los descubridores del bug: http://i.n.com.com/i/ne/p/2006/1.CIMG1795_550x574. jpg

Firefox es tan valido como ha sido siempre. Y por supuesto mucho mas valido que Internet Explorer el cual es un componente de windows, y si te falla el fallo es inmediato en todo windows.

Navegar con Firefox sigue siendo lo mas inteligente que se puede hacer, porque es mucho mas seguro que otros navegadores (todas las versiones de IE) y mucho mas conveniente que otros mas (W3M, Lynx, Links, el navegador de la wc3, etc).

Puede haber un problema puntual. Pero eso no quiere decir que este problema te vaya a afectar a ti. Ahora mismo hay CERO paginas web que aprovechen este problema para colgar el navegador con este fallo (colgar el navegador es hasta ahora lo unico reproducible que se ha conseguido).

En cambio si elegis otro navegador como pudiera ser Opera, perdeis libertad, si utilizais Konqueror dejais de apoyar Firefox con lo que eso conlleva.

Asi que mantengan la cabeza en su sitio y si hasta ahora les ha funcionado bien Firefox, sigan utilizandolo tranquilos. Y para mas adelante, por favor dejen el histerismo en las salas de peliculas de miedo, joder.

Según se lee en la actualización [mozilla.org] a la nota en Mozilla Developer News [mozilla.org], uno de los ponentes afirma que no ha logrado provocar más que cuelgues del proceso (por falta de memoria).

Igualmente, indica que no tiene 30 vulnerabilidades no publicadas, ni dijo tal cosa. Al parecer, fue el otro ponente quien hizo dicha afirmación.

Yo ya hace algún tiempo instalé la extensión de NoScript que hace que no funcione el javascript en las páginas. A lo mejor es un poco paranoico.

He llegado a la conclusión de que no hay tantas páginas que necesiten javascript para verse correctamente: bancos, las aplicaciones de Google (normal ya que no son páginas web propiamente dicho) y no muchas más. Lo que sí me he encontrado es con unas cuantas que lo usan mal puesto que podrían usar enlaces.

De esta forma evito esta vulnerabilidad ... y seguro que otras cuantas.

fotos de los simpáticos [zdnet.com]

Es que si encuentras un error, lo suyo es informar a los principales interesados, que son los programadores, para que lo solucionen cuanto antes, y no soltarlo en plan sensacionalista, exponiendo el error a que sea explotado.

Las buenas prácticas son avisar a los desarrolladores primero y dejarles por lo menos algún día de cortesía para que tengan tiempo de plantearse la mejor manera de afrontar el problema. Y sí, aunque parezca mentira hay gente que colabora con MS informándoles de bugs de forma desinteresada. Concretamente hace algúnos añitos recuerdo el caso de un español que había reportado un buen número de fallos en el IE, y la empresa le tenía en consideración cada vez que informaba (probablemente también reciben muchos informes falsos o bien por ignorancia o bien sólo por joder).

Esta gente por lo visto no sólo no ha informado previamente sino que también ha dicho que hay más fallos de ese calibre, pero sin darlos a conocer. Con lo que, como sugieren por ahí arriba, probablemente lo que quieren es pasta a cambio de información privilegiada sobre los fallos no publicados.

Si eres realmente paranoico, siempre puedes utilizar una distro live preconfigurada cada vez que necesites acceder al banco o a alguna página específica. Pero vamos, eso es alcanzar el summum de la seguridad y esta reservado a gente muy paranoica.

Huy, que idea: Paranoix, la nueva distro LiveCD para acceder a tu banco ;-)

-

Filosofía del taliban del SL:

• "Firefox lo utiliza mucha gente" ergo "Firefox es una mierda"
• "OpenOffice lo utiliza mucha gente" luego "OpenOffice es una mierda"
• "Ubuntu lo utiliza mucha gente" ergo "Ubuntu es una mierda"

Quizás no os gusta que lo utilize mucha gente porque así es cómo se descubren los bugs.

Otra alternativa es utilizar Konqueror, y los realmente paranoicos pueden usar Dillo o Lynx en una jaula chroot bajo qemu :P

¿alguien sabe cómo ejecutar Firefox en un entorno chroot?

Yo lo hago. Soy el 'desafortunado' usuario de un amd64 que para tener el puto flash funcionando hago funcionar a firefox en un chroot de 32 bits....

No tienes más que ver los HOWTO para amd64...