Barrapunto

Donde esta la noticia sobre el bug de libpng? la revelevancia es mas o menos la misma, puesto que esa biblioteca se usa en gtk, gnome y es posible que qt haga uso de ella (no tengo un ldd a mano para mirarlo). http://www.us-cert.gov/cas/techalerts/TA04-217A.ht ml

Ya ha habido virus en JPG desde hace mucho [eljuevex.com]

Pues que la peña de la Asociación de Internautas [internautas.org] se han currado un test muy bueno [internautas.org] con consejos de qué hacer y cómo hacerlo.

Lamento deciros que este fallo se conoce hace 1 o dos semanas mínimo. A ver si los editores ven que las noticias al menos sean mas o menos recientes. Que por cierto sea de paso practicamente el fallo afecta a todo software de microsoft que incorpore tratamiento de jpg

"Esto puede ser una buena excusa también para deshabilitar de una vez por todas los mensajes con imágenes..." o mejor aun, un excusa para deshacerse de windows... jeje :-)

...una razón mas para usar el SP2, no está afectado por la vulnerabilidad (los componentes propios del sistema operativo, Office y las "aplicaciones aparte" tendrán que actualizarse - viva la compartición de código)

Descubierto agujero en el formato JPEG bajo plataforma Windows

Me parece un titular erróneo, los formatos no tienen vulnerabilidades (a menos que estemos hablado de formatos encriptados, que no es el caso), es el software el que tiene vulnerabilidades, como máximo se podría decir que un formato tiene mal diseño o estructura.

La lista de sistemas operativos, suites y 'killer apps' (todos productos Microsoft) es espeluznante

Cuando el fallo es de Linux argumentamos que "es normal, todo software puede tener errores", cuando es de Windows decimos eso de "¡dios! los programadores de Microsoft son unos incompetentes! es espeluznante".

Patetico.

Como en esos libros de Agata Cristie he reunido a los potenciales culpables:

  - Microsoft
  - El grupo jotapeg
  - El lenguaje C
  - Miguel de Icaza

En primer lugar descarte la autoria de Miguel, dado que yo a el lo veo mas como programador de windows, aunque hay que reconocer que la mayor parte del codigo C# que escribe tambien se ejecuta en la plataforma windows. Sin embargo el codigo que ha fallado esta vez no esta en C# sino en C.

A continuacion estudie el documento de descripcion del formato jpg elaborado por el grupito este de fotografos. Y pude leer en el que se describe el formato pero no una implementacion de el. Por tanto si el fallo es de implementacion, y no de diseño, no son los culpables. Salieron del salir respirando aliviados.

Enseguida gire la vista al resto de los sospechosos: la implementacion de Microsoft y las deficiencias del lenguaje C.

Tras examinar unas seccioens de codigo fuente distribuidas gratuitamente por internet *cough* relativas a las librerias internas de windows descubri inmediatamene que el codigo, sin ser una gran maravilla, si estaba escrito profesionalmente, todo lo profesionalmente que se puede escribir codigo para la API de windows (hay que recordar que el kernel hace llamadas al kernel, de modo que el kernel es tambien un cliente de la misma api que el mismo proporciona.. LOL!!!)... Los ingenieros de microsoft salieron dando resoplidos.

En la habitacion solo quedo "las limitaciones del lenguaje C". El tipico tipo del que jamas nadie habria sospechado.

¿Son las librerias de C, sobretodo las de asignacion de memoria, demasiado proclives a fallos? ¿Es quizas mejor forma de trabajar la propuesta por los motores de recoleccion de basura? ¿Deberia la asignacion de memoria en manos del programador? ¿En que sentido es realmente importante hoy en dia las ventajas que se obtienen de hacer uno mismo la asignacion de memoria y en que sentido es hacer el capullin, trabajando mas y encima metiendo bugs como estos de los buffer overflow?

?Quien sabe¿

solo comentaos que esta noticia aparecio en shellsec [shellsec.net] hace dias

Hace un par de semanas (dia arriba, dia abajo) que M$ puso el correspondiente parche en Windows Update y explica la vulnerabilidad redireccionandote a otro lugar donde te lo explican con pelos y señales y te ofrecen descargarte varias actualizaciones según los programas que tengas instalados (imaging y similares).

Si los usuarios no son capaces de actualizar sus sistemas por pereza, desinformación o vete tu a saber no es culpa de los de Redmond.

Yo me conformo con hacer mi apt-get upgrade cada mañanita en mi máquina y lo similar con el resto de equipos M$ de la empresa donde trabajo :)

Los usuarios deberian leer un poquito acerca de su sistema, cosa a la que M$ no ayuda demasiado :(

¡Ah! y por lo que veo donde curro, la gente desactiva las actualizaciones automáticas "porque cuando eso se conecta las cosas que tengo en el kazaa van mas lentas" :(

Pues eso