Barrapunto

A ver que me aclare, la versión 3.6.8 salió hoy? entonces porque a mi el firefox me la instaló el domingo tarde? (y estoy seguro porque no he cerrado el navegador desde el domingo tarde).

Cierto es que es malo sacar un parche (3.6.7) para corregir una vulnerabilidad y meter otra. Pero la ventaja del Open Source es que cualquiera puede mirar el código cambiado y descubrir la nueva vulnerabilidad, y hay mucha gente que lo hacemos. Seremos un 0.001%, pero ese pequeño % de cientos de millones de personas usando Firefox somos muchos.

De hecho los errores en Open Source tardan días en ser detectados y corregidos. En código escondido como un tesoro por las compañías que lo venden, no se detectan más que por gente maliciosa y tardan muchísimo en descubrirse y a veces años en corregirse.

Claro que no!!! Pongame un Barrapunto on the rocks por favor!!! :)

Yo tengo otra reflexión. Puedo estar de acuerdo con lo que digas, pero joder, ¡usa un corrector ortográfico y pon haches y tildes!

Seguramente lo único que hayan hecho ellos es instalar la versión del momento y, a partir de allí, que el Firefox se actualice solo.

Como mucho algún administrador inspirado habrá armado su propio mirror de Mozilla y redirigido los DNS para ahorrar ancho de banda.

Es mejor retrasar 6 horas un parche para un error no crítico que tener que generar una nueva versión por un error crítico. Pero en este caso se cambió un error crítico por otro, no te sabría decir qué es mejor.

Lo bueno es que el código efectivamente se revisó y se corrigió el segundo error.

¿Qué política de seguridad tienen los desarrolladores de OpenBSD que distribuyeron, en los últimos 20 años, dos errores remotamente explotables en la instalación predeterminada?

No lo se, pero no creo que hayan tenido ningún problema, no hay reportes de computadores que les hayan pasado algo debido a esta vulnerabilidad, que ya fue reparada.

No he visto en ningún lado reportes de problemas reales por vulnerabilidades de Firefox. El que existan vulnerabilidades para este navegador no implica automáticamente que hayan sido explotadas, solo quiere decir que ha existido durante un lapso de tiempo un mecanismo que pudo haberse usado para un ataque. Si la vulnerabilidad se corrige rápidamente antes de que pueda ser explotada no hay problema (excepto el costo del personal para hacer la actualización).

Por otro lado, sí he visto centenares de vulnerabilidades en el Internet Explorer y Windows que sí han sido explotadas causando cientos o miles de millones de dólares en pérdidas, gastos en tiempo de personal dedicándose a desinfexiones, actualización y protección, más gastos en mecanismos de seguridad (antivirus, antimalware, firewall, etc).

Todos estos gastos se le suman al costo del sistema operativo, así que Windows no vale $200 sino cientos de dólares más, porque hay que sumarle todo esto.