El jefe de seguridad de Mozilla ha confirmado una vulnerabilidad que podría hacer que las parcheadas versiones de Firefox dejaran al descubierto los datos privados de los usuarios.
La confirmación, en una entrada en el Window Snyder de Mozilla, llega después de que Gerry Eisehaur lanzase el código en concepto de prueba.
El fallo está en el protocolo “chrome” (para interfaces de usuarios desarrolladas en XUL) utilizado en Firefox y permite un directorio transversal cuando se instalan ciertos tipos de extensiones (las llamadas “flat”). Los hackers pueden utilizarlo para detectar si ciertos programas o archivos están en una máquina y obtener la información necesaria para utilizarlos en otros exploits más malignos.
Normalmente, el paquete “chrome” de Firefox viene restringido a un número limitado de directorios, pero un bug consigue escapar a las secuencias y acceder a las partes más sensibles del ordenador del usuario. El exploit sólo funciona si el usuario ha hecho uso de las extensiones de Firefox como Download Statusbar y Greasemonkey.
El fallo ha sido calificado como de severidad “normal” y la compañía dice que ya está trabajando para solucionarlo.
vINQulos
The Register
bueno parece que el firefox empieza a sufrir en sus carnes las terribles vulnerabilidades de los productos de software libre.
“las terribles vulnerabilidades de los productos de software libre.”???
¿Podrías aclarar esto?
Yo no soy programador aunque tengo idea de que va la cosa y le pregunto al primer posteador; ¿que tiene que ver el tocino con la velocidad?.
La única relación que veo es que al ser software libre, se puede bucear en el código y descubrir las vulnerabilidades antes de que estas se manifiesten.
Pingback: Mozilla confirma agujero en Firefox « Webeando en la red
“La confirmación, en una entrada en el Window Snyder de Mozilla, llega después de que Gerry Eisehaur lanzase el código en concepto de prueba.”
Window Snyder es una persona, no una cosa:
http://en.wikipedia.org/wiki/Window_Snyder
#Iñigo Alonso
Ah, ¿Todavía no sabes que Diana Delgado se limita a traducir mal noticias en inglés? Y lo mejor, sin contrastar nada. No te metas con ella, que es lo mejor del Inquirer :D
#Pedro
Bueno, no debería contestarte porque eres un pedazo de troll descarado xDDD Pero bueno, sólo decirte varias cosas:
- La vulnerabilidad no es crítica.
- Sólo ocurre si tienes instaladas las extensiones DownloadStatusBar o GreaseMonkey.
- Te aseguro que, gracias a que Firefox es libre, se solucionará mucho más rápido el fallo.
Nadie dijo que el software libre no tenía fallos. Sólo dijimos que se solucionan antes y mejor.
bueno al menos admitimos que el software libre tiene tantos o mas fallos que el software propietario.
No se por que, hay la extraña creencia, entre los partidarios del software libre, que un chaval de 15 años puede desarrollar un software libre sin fallos, rápido y eficaz, mientra que una multinacional que invierte millones solo crea productos defectuosos, caros y lentos.
La cuestión es, para hacer cosillas y chapuzillas el del chaval va genial, pero cuando tenemos problemas serios, acabados profesionales, etc al final siempre caemos en el software propietario que nos da soporte y tenemos ejemplos, información, ayuda, etc para realizar justo lo que andabamos buscando.
Cuanto mas se implante firefox mas vulnerabilidades saldran, eso siempre fué así y está siendo así.
Por eso es que IE no tiene fallos! y es el mejor navegador! cierto?
#Pedro
Sí, el software libre no tiene grandes empresas detrás y está desarrollado enteramente por niñatos y frikis. Veo que estás muy puesto.
#pedro
Parece que no has leido bien, la vulnerabilidad no es de firefox sino de las dos extenciones, ademas no son criticas ya que mientras no instales esas extenciones no tendras problemas, en cuanto a lo de encontrar mas fallos en el software libre es una tonteria eso no depende de si es software libre o propietario, eso depende de los programadores y su forma de programar, aunque incluso siendo un experto siempre dejaras uno que otro agujero en tu programa.
Lo importante aqui es que en el software libre los demas programadores lo pueden ver el agujero y se lo puede corregir mas rapido que con el software propietario.
Che, ya le pegaron bastante a pedro… dejenló con su software propietario (imagino que legal) con el cual jamás, pero jamás, ha tenido ningún problema!
:D
“ya le pegaron bastante a pedro”
de momento no se ha llegado a las manos :)
“Por eso es que IE no tiene fallos! y es el mejor navegador! cierto?”
Tiene fallos como cualquier producto de software libre y/o propietario. Pero se me actualiza solito y no tengo que preocuparme.
“Lo importante aqui es que en el software libre los demas programadores lo pueden ver el agujero y se lo puede corregir mas rapido que con el software propietario.”
Claro ahora me vas a decir que te has mirado el codigo, lo solucionaste y lo recompilaste para corregirlo. Como no lo arreglen los desarrolladores que han creado el producto ya puedes esperar a una solución por parte de la comunidad libre….
Microsoft no gana un duro con los navegadores, tiene el suyo para que sus productos orientados al web no dependan de terceros y listo.
¿Que importa este agujero?
Si la comunidad lo va a reparar en unas semanas o en un dia, si es que tienen un dia de inspiracion… Son capaces.
En cambio, los errores de Windows en cualquier aplicacion depende nada mas de su empresa y para solucionarlo deberas bajar el parche. ¿Que se necesita para bajar el parche? Pagar la licencia antes y tambien, tener un Windows “original”.
Pero no, lo que hacen es “crackear” Microsoft Windows y se pueden bajar las actualizaciones -ilegal-. ¿Que es esto, defiende a Windows y mientras que, al mismo tiempo, lo estan estafando? ¿Saben que la pirateria cuesta miles y miles de puestos de trabajos?
Muy bien Pedro, gracias por demostrar tu ignorancia a las primeras de cambio. Así uno se ahorra la enésima discusión estéril con un fanboy.
Chavales de quince años… Ah, si los ingenieros de Intel, IBM, Novell o Sun leyesen esto…
En vez de publicar la vulnerabilidad debieron hacer el ‘parche’ primero, ya que tuvieran la actualización hubieran publicado las dos. =/
Pingback: Detecta bug en Firefox por el protocolo chrome
cuando dicen “la comunidad lo va a reparar” a que comunidad se refienen? a ustedes? ustedes son los que lo van a repaprar? ,digo porque el codigo esta ahy
@anel
“si es que tienen un dia de inspiracion… Son capaces.”
quienes la comunidad? o los desarrolladores?
aceptemoslo, he estado en varias “comunidades” de opensource, y. los unicos que hacemos el trabajo somos los desarrolladores, son muy contadas las vezes que algun usuario comun como ustedes amablemente revisa el codigo y nos da una pista de donde puede estar la falla, en sus excepciones los usuarios comunes que nos avisan termian por unirse al equipo de desarrollo , si se resuleve en poco tiempo es porque la empresas que nos patrocinan o las fundaciones nos apoyan economicamente para que se arregle el fallo, no nesesariamente porque sea open source .
Rick, ¿puedes decir qué desarrollos fueron?
Pingback: Mozilla confirma agujero en Fiefox
“Muy bien Pedro, gracias por demostrar tu ignorancia a las primeras de cambio. Así uno se ahorra la enésima discusión estéril con un fanboy.”
Pedro es admin en un ISP y se mete con vosotros porque la verdad los comentarios que se leen por aqui son bastante tristes en favor al software libre…
Hasta cuando firefox 3?
bueno creo que es mejor sacarlo cuando este bien depurado y no como KDE 4, que esta recien salido y ya estan pensando en el 4.1.
Oye, es que mi amigo es admin de un ISP y además en esto de la informática sabe un huevo. Que cuando no me va el emule o tengo que reinstalar el windows, mi amigo Pedro siempre me da un golpe de mano XD!
Venga hombre, afirmar que el software libre es obra de chavales de 15 años o que por ser software libre está plagado de bugs es propio de alguien que en su puñetera vida ha programado nada profesionalmente
Que opine con seriedad y conocimiento de causa y las respuestas estarán a la altura, pero si entras en plan troll, no esperes mucha educación a cambio…
Segun su propia pagina, Firefox 2.0 ha tenido 45 fallos de seguridad, de los cuales, 16 han sido criticos.
Todo esto en aproximadamente 1 año.
http://www.mozilla.org/projects/security/known-vulnerabilities.html#firefox2.0.0.10
No es una cifra impactante, pero tampoco es una cifra despreciable.
Jon Johansen reventó la proteccion de los DVD’s en los que Super-multinacionales con sus Super-programadores y sus super-sueldos habian trabajado en apenas unos dias.
Por cierto, era un “quizeañero”.
Confirmado!
Denle la bienvenida al nuevo troll Pedro que se suma a la fauna ya existente
Astilla
Cervantes
Azarot
NME
No se si me olvido de alguien..
#infobot
Por favor, no metas a #NME en el mismo saco que los demás trolls. Aunque tenga un punto de vista distinto al nuestro, es una persona que argumenta y sabe de lo que habla la mayoría de las veces.
Gracias.
Kristal, ¿en serio es administrador de un ISP? ¿Se puede saber de cuál?
Es que me parece una trola como una casa, por dos razones:
1. Si fuese administrador, sería “un” administrador, a menos que fuese capaz de cubrir el puesto de varias personas durante 24 horas al día. Irrelevante, por tanto, pues su oficio no le da mayor importancia a sus opiniones.
2. Si fuese una especie de “administrador jefe” o gerente, me preocuparía haber contratado una línea con una compañía cuyo personal técnico se permite el lujo de perder el tiempo en The Inquirer.
como dijeron arriba, nadie ha dicho que el soft libre no tenga errores.
tampoco nadie ha dicho que el SL no tiene su lado negro, es lamentable lo que nos cuenta Rick, pero tambien tiene que tener en cuenta que un usuario es un usuario, y un desarrolador es un desarrollador.
Aqui el apoyo se lo debemos agradecer a la fundacion mozilla que nos da ese gran navegador y se pone las vivas para corregir sus programas pagandoles a sus desarrolladores.
Por cierto, la comunidad tiene sus dimensiones y sus divisiones, unos usuarios, otros probadores de aplicaciones, otros desarrolladores y otros mantenedores de paquetes. !!
Cada uno juega su papel segun su posicion en la comunidad.
Pingback: Linux Al Poder - El Blog de Tuxams297 » Blog Archive » Mozilla confirma agujero en el navegador Firefox
“Kristal, ¿en serio es administrador de un ISP? ¿Se puede saber de cuál?”
sip así, es. No seré yo quien lo diga ¬¬
“Oye, es que mi amigo es admin de un ISP y además en esto de la informática sabe un huevo. Que cuando no me va el emule o tengo que reinstalar el windows, mi amigo Pedro siempre me da un golpe de mano XD!”
Sabe un poco sip :D sobre todo de servidores. Mas de 200 entre Windows, Sun y Linux. Le gusta dar caña ¿se nota no? :D