La compañía dijo que pagará US$500 a quien reporte fallas generales, y más (no se indica cuánto) para quienes informen de bugs específicos. Para ganarse la recompensa, hay que ser el primero en informar privadamente sobre el bug, hay que darle un plazo razonable a la empresa para que pueda responder antes de dar a conocer la falla, y hay que vivir en un país que no esté “sancionado por Estados Unidos”. Lo sentimos, Cuba.

Mozilla fue uno de los primeros desarrolladores de software en crear un programa de recompensas, estrategia que siguió luego Google. Mozilla ha llegado a pagar hasta US$3.000 y Google US$3.133,7 por bugs muy serios.

Link: Security bug bounty (Facebook)

Es decir, una minoría de los miles de afectados por la pérdida de toda la información albergada en su cuenta de correos.

Google también rebajó la cifra de los damnificados, dejándola en un 0,02% del total, o lo que es lo mismo, unos 37.000 usuarios. La compañía culpa en su blog corporativo a un bug producido por la introducción de un nuevo software que gestiona el almacenamiento de información en sus servidores y confiaba en que el servicio estaría reparado ya ayer por la tarde.

Google indemnizará economicamente (¿cómo se mide el valor de lo perdido?) a los usuarios de pago. Mientras, al resto nos hace preguntarnos ahora sobre la seguridad de almacenar nuestros datos, no solo los correos electrónicos, sino que en la nube.

Link: Gmail back soon for everyone (Gmail Blog)

Sergey Glazunov descubrió un error crítico que Google describe como “stale pointer in speech handling”, es decir, código malicioso que surge durante la asignación dinámica de memoria en el manejador de palabras. Por lo tanto Glazunov fue el primer investigador a tomar mayor recompensa de la casa de Google, mientras que Mozilla ya entregó un cheque con una cifra similar a un niño de 12 años.

“Estamos encantados de entregar nuestra primera recompensa elite de 3,133.7 dólares por la seguridad de Chromium a Sergey Glazunov”, dijo Jason Kersey, gerente del programa Chrome.

En total, Google pagó 7.470 dólares a Glazunov por informar de cinco de los 16 defectos, siendo un error crítico el de mayor recompensa . Estos parches fueron integrados con la tercera actualización 8.0.552.237  de su actual versión “estable”.

Cabe recordar que Chrome encabezó la pasada lista “Dirty Dozen” de aplicaciones más vulnerables, sin embargo algunos expertos creen que esto se debe a que es un navegador relativamente nuevo y esto puede ser motivo por el que investigadores de seguridad pongan mucha atención en el descubrimiento de nuevas vulnerabilidades.

Link: Google pays record bounty for Chrome bug (ComputerWorld)

Se trata de un bug que afecta a todas las versiones del navegador y podría ser aprovechado por sitios maliciosos para atacar remotamente el computador de un usuario, así que si eres usuario de este navegador y estás preocupado, Microsoft recomendó la descarga del Enhanced Mitigation Experience Toolkit 2.0 para evitar problemas.

De todos modos, la compañía indicó que no tiene reportes respecto de que esta falla esté siendo aprovechada por gente mal intencionada en este momento, y que está trabajando para lograr una solución permanente.

Link: Microsoft warns on IE browser bug (BBC)

Estimados Lectores:

Muchos de ustedes habrán notado un comportamiento anómalo en la página que se manifestó anoche hasta aproximadamente las 00:30. El propósito de este minipost es contarles a qué se debió puesto que consideramos importante hacerlos parte del devenir diario del sitio más allá de los contenidos mismos, con sus chascarros inclusive cuando corresponda.

Ocurrió que anoche se programó el paso a producción de las nuevas versiones móviles de algunos sitios de Betazeta, un sistema mediante el cual el blog detecta el tipo de browser y muestra la versión completa o bien la móvil según corresponda. Considerábamos importante hacer este cambio puesto que las versiones móviles que teníamos desplegadas anteriormente recurrían a un mecanismo rudimentario e inflexible, que no permitía -por ejemplo- alternar entre la versión móvil y la full a voluntad del visitante.

El cambio iba sobre ruedas y pensábamos hacerlo sin tener que interrumpir el servicio y sin que el visitante lo notara pero, como decía mi profe de Geometría II cuando no le salían las demostraciones: “Algo falló…”. En nuestro caso ese algo implicó que nuestro mecanismo de caché guardara la vista móvil y la desplegara a todos los visitantes por varias horas.

Como resultado, muchos lectores pensaron que la nueva cara de FayerWayer (y de los demás sitios en donde pasó lo mismo)  correspondía a la vista móvil, cuya característica es un minimalismo exacerbado. Podemos asegurarles que eso no está en nuestros planes, y que para los navegadores de escritorio seguimos teniendo fotos gigantes y otras características más bien maximalistas.

Agradecemos la comprensión y paciencia que siempre nos han tenido, y aunque no podemos garantizarles que estos errores no ocurrirán en el futuro, sí podemos prometer que siempre saldremos a reconocer cuando metamos la pata.

PD: el de la foto no soy yo.

Twitter ha experimentado un error y se borraron todos los seguidores y seguidos de la lista que cada usuario elaboró. No tenemos por el momento más detalles respecto a qué pasó, aunque la misma red social ya está llena de quejas al respecto.

¿Querrán que empecemos de nuevo? ¿Se habrán borrado para siempre? Esperamos que no. Estaremos informando a medida que tengamos más datos.

Actualización:

Aunque no se ven las listas de seguidos y seguidores, se siguen viendo los tweets de las personas a las que uno sigue. Twitter señaló que están arreglando un bug que permitía forzar que otras cuentas siguieran a la tuya.

El bug en cuestión permitía hacer que otros usuarios comenzaran a seguirte, sin que el dueño de la cuenta siquiera supiera quién eres. Bastaba con escribir “accept [nombre de usuario]” y ese usuario comenzaba automáticamente a ser tu follower.

Aplicando este exploit, podías hacer que Ashton Kutcher, Barack Obama o hasta FayerWayer fueran tus followers. Mientras se resuelve, nadie podrá presumir sus números, puesto que Twitter los mandó a todos cero.

Actualización 2:

Twitter publicó en su blog de estado que

estamos trabajando para revertir todo el abuso causado por este bug. Los números de seguidores/seguidos están en este momento en 0; estamos conscientes de esto y también será resuelto dentro de poco”

.
Twitter aseguró que quienes tienen sus tweets bajo candado no han sufrido una filtración de sus mensajes. No han dado más explicación respecto a esto, aunque suponemos que el hecho de que las personas con candado deban aceptar a quien los sigue puso una traba extra al bug.

Actualización 3:

Ya se resolvió el problema y tenemos números de nuevo en los indicadores de seguidores/seguidos.

Actualización 4:

Esta es la historia de cómo supuestamente se descubrió este curioso exploit. Resulta que existe una banda alemana de heavy metal llamada Accept. Un fan turco de la banda twitteó “Accept pwnz” y después se dio cuenta de que el usuario de Twitter @pwnz lo estaba siguiendo. Curioso, pensó, y decidió probar de nuevo a ver que pasaba. Y resulta que cualquier nombre de usuario que ingresara comenzaba a seguirlo. El sujeto escribió un post en su blog (en turco) sobre el incidente, desde donde se repartió por la web. Su cuenta de Twitter, en tanto, fue suspendida tras el caos causado por este bug.

Link: Twitter

David Litchfield, jefe de investigación en NGSSoftware Ltd, una compañía con sede en Reino Unido dijo haber reportado a Oracle la vulnerabilidad desde Noviembre (Oracle 10.2.0.4), pero no fue solucionado en los parches de seguridad de enero. Por lo que ha decidido hacerlo público (“11g 0day exploit”) durante la conferencia Black Hat en Washington el miércoles.

Litchfield dijo que “permite a un atacante sin un ID de usuario y contraseña tomar el control completo. Todos los firewalls se vuelven irrelevantes”.

Aunque es posible prevenir la explotación cambiando la configuración por defecto del software, Litchfield cree que nueve de cada diez bases de datos son vulnerables. Añadió que no había manera de saber si los hackers ya aprovechan la vulnerabilidad para acceder a una base de datos.

Oracle no ha hecho algún comentario al respecto y Black Hat ha retirado el video de David Litchfield donde se mostraba el exploit.

Link: Researcher says Oracle database can be hacked remotely (Neowin)

La falla le ocurrió a algunos usuarios que actualizaron su sistema a Snow Leopard, y luego entraron con una cuenta de “invitado” a sus máquinas. Cuando intentaron entrar con su propio usuario al computador, se encontraron con la sorpresa de que todos sus archivos personales (documentos, música y video) habían desaparecido.

“Estamos conscientes del problema, que ocurre sólo en casos extremadamente raros, estamos trabajando en una solución”, dijo la firma en un comunicado, un mes después de las primeras quejas.

El problema ha sido ampliamente discutido en los foros de Apple, y aunque algunos han logrado recuperar los datos perdidos, la mayoría sólo desapareció.

Link: Apple admits existance of data eating bug (The Guardian)

(cc) tharso

En los últimos años los gusanos se han convertido en un verdadero enemigo para los notebooks, pero el último avistamiento de estos seres resultó ser bastante dañino, pues provocó el sobrecalentamiento y posterior cuelgue de un notebook.  Además, este bicho resulta especialmente letal pues se puede reproducir incluso cuando el portátil está apagado y es imposible de detectar con antivirus, y es que se trata de gusanos… literalmente.

La extraña anécdota le ocurrió a Mark Taylor, quien se sorprendió un día de las temperaturas de su notebook, sólo para abrirlo y encontrarse con un gusano de 13 centímetros muerto obstruyendo uno de los ventiladores.  ¿La explicación? Los gatos de Taylor disfrutan metiendo gusanos desde el patio a la casa para jugar con ellos, y seguramente uno entró desesperado al notebook buscando refugio… el resto es historia.

Link: Worm causes computer to crash (Telegraph.co.uk)

En su momento cúlmine, un informe de “feedback” llegó a los cuarteles de Microsoft cada 15 segundos durante una semana entera, y el total de reportes de bugs ya asciende a 500.000, por lo que trabajo no le falta a los desarrolladores.  En noticias relacionadas, el 75% del hardware parece funcionar perfectamente con los drivers que Microsoft incluye en el beta de Windows 7 por defecto, lo que es un grito lejano de las largas horas de cacería de drivers con Windows XP.

Link: Microsoft Says It Has Fixes for 2,000 Windows 7 Bugs Thanks to Testers (DailyTech)

Click aqui para ver el video.

Hace tiempo Buglabs lanzó BUG una colección de módulos electrónicos para encajar juntos y construir el gadget que imagines, una especie de Legos para Geeks con módulos como: cámara de 2 megapixeles, GPS, pantalla touchscreen, sensor de movimiento y módulo para entrada de dispositivos USB. La programación de esta computadora programable se hace a con las herramientas de código abierto llamadas BUG SDK y BUGnet.

Hasta el momento no dejaba de ser solo un buen juguete hasta el día de ayer que el miembro cmw de la Comunidad BUG logró correr el mítico juego Quake en su ensamble, usando solo dos módulos: BUGbase, para controlar por medio de un joystick y BUGview, la pantalla.
La instalación es muy sencilla, insertas el BUGview en el slot3 de BUGbase donde extraerás y ejecutaras el binario y ¡listo!, a jugar Quake.

Y mientras esperamos los módulos de BUGwifi y BUGsound cmw nos adelanta el desarrollo de un driver Xpad para la interfaz BUGvonhippel y conectar su guitarra del XBox 360 Rock Band.

Click aqui para ver el video.

¿Quién necesita un NintendoDS cuando puedes hacerlo tu mismo?

Link: Quake on the BUG (Hackaday)