Estados Unidos 
Steve Jobs fue premiado anoche con Grammy póstumo
Europeos se manifiestan en contra de ACTA
Tommy Jordan se refiere al "asesinato" del note...
Futurología: La nueva Xbox podría incluir mando...
8 cámaras clásicas de Kodak, ahora que dejará d...
Alemania dice que no firmará ACTA (al menos por...
México: Sujeto intentó subastar un bebé en Merc...
10 regalos geek para tu media naranja en este D...Nueva vulnerabilidad en Firefox: Javascript
Dos hackers en la conferencia ToorCon salieron diciendo que hay una vulnerabilidad gigante en Firefox, tan grande que permitiría que un atacante tome el control de un computador a través de código Javascript. Y nadie se salvaría de ésta: según ellos, pasa tanto en Windows como en Mac OS y en Linux.
“Internet Explorer, todos sabemos, no es muy seguro. Pero Firefox tampoco lo es”, dijo Mischa Spiegelmock, uno de los hackers, quien actualmente trabaja en SixApart (los dueños de Movable Type). El truco, al parecer, estaría en causar un error en la pila de datos (“stack overflow”) a través de varios trucos de programación. Para Spiegelmock, la implementación de Javascript en Firefox es “un verdadero desastre”. Y según él, “imposible de parchar“.
Pero en eso no estoy de acuerdo. Ahí está la ventaja de que el código del navegador sea abierto.
UPDATE: Nunca hubo tal vulnerabilidad.
Link: Hackers claim zero-day flaw in Firefox (Vía OSNews)
27 Comentarios
Nueva vulnerabilidad en Firefox: Javascript
ver para creer
ResponderPueda que exista una vulnerabilidad en una parte de Firefox, pero de alli a que esto sea "insolucionable" lo encuentro poco probable, esto es una de las fortalezas de que el código de Firefox sea open Source, ya que se podrá solucionar en comunidad.
ResponderAl igual como ha sucedido con Linux, se seguiran escuchando apocalipticos comentarios de Firefox... pero seguiran existiendo y creciendo cada vez más en usuarios.
hola.
ResponderCreo que es muy probable que exista una vulnerabilidad de ese tipo en Firefox.
Pero de ahí a que sea insalvable, NI MUCHO MENOS
Además, eso de que no se pueda construir un parche, me huele a chantismo del barato!
Cómo no se va a poder construir un parche para una vulnerabilidad conocida!
Saludos
ohoooooo y ahora quien podra ayudarnos
ResponderCreo que el "imposible de parchar" apunta a que tendrían que reprogramar todo el modulo que trabaja con Javascript...lo que lo hace, en la practica, imposible de PARCHAR...no imposible de solucionar.
Respondersaludos
Todo problema tiene una solución y más aun en la informatica y la tecnologia. Creo que es un mensaje para meter miedo, pero no dudo que firefox pueda tener tal fallo.
ResponderSiempre han habido fallos en la implementación de javascript con firefox, pero eso no demerita el gran potencial que tiene este magnífico navegador de internet.
ResponderAún así, creo que se debería hacer una modificación en la estructura y no sólo un parche. Hay muchos sitios en la web que utilizan javascript de forma extensiva e incluso hay sitios donde la navegación no funciona de manera apropiada con el firefox.
Por cierto, la nueva versión de flashplayer falla mucho.
Se cuidan.
para variar más de lo mismo
ResponderComo alguien dijo arriba, una cosa es imposible de parchar y la otra es imposible de solucionar. Asumo que se refiere a imposible de parchar pq hay que rehacer todo el modulo de javascript
ResponderLos hoyos de firefox son inversamente proporcional a los hoyos de las calles de Santiago, ya que aca los hoyos al parecer son imposibles de solucionar, pero si se pueden parchar.
Respondersi es cierta la teoria de guachimingo, quiza ingenieros chilenos les seria posible parchar Firefox, pero nunca solucionar el problema de raiz ( ya que aca nada tiene solucion definitiva, al contrario somos rebuenos para parchar todo)
ResponderNoScript y se acaban los problemas con javascript raros http://noscript.net
Responderyo uso opera, o se si sere un gran desinformado pero... nunca he leido una noticia de opera con vulnerabilidades :P
Respondero sera que opera no es noticia? :(
Firefox tiene la ventaja de ser OpenSource...asike se puede solucionar mucha más rapido de lo ke se puede solucionar algun problema de IE7.
ResponderAparte vieron el Spot de IE7 http://www.youtube.com/watch?v=cVcH_o1imWA
Aunke yo sigo fiel a Firefox porke las novedades de IE7 son cosas ya probadas.
De paso debo decir ke Opera esta bastante bien es muy rapido, lo recomiendo.
Hispasec ya califico el fallo como un 0 day
Responderhttp://www.hispasec.com/unaaldia/2900
lo bueno es que no habrá que esperar al segundo martes de noviembre para tener el problema solucionado. La fundación mozilla soluciona rápidamente sus problemas.
doyarzun: yo tambien uso Opera, lo bueno es que los pocos fallos que hay son rápidamente solucionados. En el otro lado de la balanza está que como Opera no es tan popular, hay menos gente dedicada a buscar fallos, lo que significa que pueden haber fallos aún no descubiertos.
Ni ahi
ResponderUso Lynx
mmm estaba esperando una notita tuya de la campaña de Greenpeace de "bad apples" ;)
ResponderPoto :
ResponderPosted on: Octubre 2, 2006 05:21 PM
Ni ahi
Uso Lynx
jaja... en todo caso se bloquean todos los javascripts de sitios no confiables con la extensión de Firefox y ya.
Por otro lado, no creo que sea para cortarse las venas. Bugs que permitan "stack overflow" son muy difíciles (sino imposibles) de prevenir, sólo queda parchar; y no es que sea una solución a la chilena como dicen por ahí, pero darle solución final al tema del buffer overflow... por favor, cuando la encuentren me avisan y quebramos a todas las compañías que diseñan sw para buscar estos bugs).
¿donde x*xa estan los servidores de fayerwayer? ¿estan en Filipinas?
Respondercada vez esta mas lenta esta pagina, gasten un poco mas d dinero y pongan server buenos... :)
me carga super lenta la pagina a mi igual, la cago :(
Respondersobre el tema de firefox, usando no-script supongo ke almenos se taria evitando parte del problema o no???
espero saken luego actualizacion para solucionar este problema, por el momento toy usando firefox 1.5.0.7 ke seria la ultima version estable y wea x_x
saludos
Claro, la ventaja del Open Source es que las cosas pueden mejorar por parte de quienes desean aportar en este caso a Firefox, ya que no quieran arreglar la falla o simplemente lapidan la cosa como "imposible de arreglar" es otra cosa...
ResponderYo ocupaba Opera en Linux y es muy bueno, me gustaba mucho y ya que tuve que sacar Linux por falta de espacio en HDD lo bajare para Windows.
...y hablando de Linux, las quiero compartir una pagina de Microsoft llamado "Conozca los hechos" que compara Windows con Linux:
http://www.microsoft.com/conosur/hechos/default.mspx
Saludos!!!!!
Todos los softwares tienen fallas, y en el caso de los navegadores todos tienen sus fallas de seguridad que las ven encontrando a medida que mas usuarios lo utilizan. Firefox no es la excepcion, pero como varios comentan, el codigo es open source y esa es una gran ventaja, ademas de que es sabido que mozilla ha corregido errores en tiempo record, mientras que no asi en el caso de Micro$oft.
ResponderLo que veo es una serie de noticias que dramatizan mucho el tema, como si fuese con la intencion de dar un sensacionalismo y mala publicidad a firefox, por haberles descubierto fallas, y quienes las descubrieron en lugar de hacer una critica constructiva, ayudando a solucionar el problema, se dedicaron a hacer prensa y diciendo que no iban a divulgar unos 30 supuestos errores que ellos dicen que le encontraron. Si alguien encuentra algo para mejorar, en lugar de hacer negocio con ello mejor ayuden a solucionarlo.
hay algo que no debemos olvidar:
Responder"Los hombres son imperfectos, los hombres programan software imperfectos"
He escuchado y leido a varios (no necesariamnete ne esta web) decir que el FF es casi perfecto, pero es solo un software y tiene q pasar lo que tiene que pasar, le encontraron un problema.... pero la gran diferencia es que FF es codigo abierto y hay una gran comunidad tras el mejorandolo y no una compañia monopolizadora.
Bueno, era de esperarse que mientras "más popular se hace un programa, más vulnerabilidades se le encuentran". Eso pasó, por ejemplo, con Microsoft Internet Explorer. Claro, no excluyo de la culpa a los desarrolladores (programador malo!, programador malo!), ....peeeeeero...cierto es que ...si antes no se le descubrieron tantas "bondades" a Firefox era porque no era "tan famoso" como el tristemente célebre "browser" de Microsoft. Ahora que lo es, ....ahora...pues...
Responder"make them dance like you were shooting at their feet"....
al final todo fue una broma?
Responderhttp://www.heise-security.co.uk/news/78970
"The main purpose of our talk was to be humorous."
Adivinen: se ha desmentido la noticia de tal falla.
ResponderEl mismo Mischa Spiegelmock habló con William Snyder, jefe de seguridad de Mozilla, alegando que "El objetivo principal de nuestra charla era ser hilarantes".
Lo único que ha conseguido con un "stack overflow" es hacer que el navegador se caiga. Nada más. No ha podido ejecutar código por ese hoyo.
Y dice que tampoco tiene idea de los otros 30 hoyos reportados... claaaaaaro...
Aun así, el equipo de Mozilla va a revisar la falla de todas formas.
fuente: http://www.heise-security.co.uk/news/78970
Estoy mas tranquilo ahora, ya que ese es mi navegador por defecto...puede que sea una broma de mal gusto. Ver link:
Responderhttp://www.hispasec.com/unaaldia/2902
Deja tu Comentario