Publicado por vivab0rg el 20/06/2008
Sólo 2 días después del lanzamiento de Firefox 3.0, se hizo semi-pública una nueva vulnerabilidad de seguridad que está presente en la última versión 3.0, y en las anteriores, como en la versión 2.x. Aparentemente, quienes lo descubrieron demoraron su anuncio hasta despues del lanzamiento de Firefox 3.0 para obtener más publicidad. El fallo no está disponible públicamente, sólo conocemos que es una vulnerabilidad de seguridad que permite una ejecución de código aleatorio en la máquina del atacado.
Lo único que se sabe hasta ahora es que "como en casi todas las vulnerabilidades en los navegadores hoy en día, se requiere la intervención del usuario, como hacer click en un link en un email o visitar un sitio malicioso".
Mozilla ya está investigando y trabajando para proporcionar parche para esta vulnerabilidad, que, si la consideran extremadamente crítica, tendremos una nueva versión de Firefox en poco tiempo.
12:17.
9 comentario(s).
Nuevos comentarios deshabilitados.
Publicado por vivab0rg el 28/05/2008
Y tal como esperaban los más cautos, finalmente se confirmó que Firefox 3.0 tendrá un RC2 debido a que se detectaron alrededor de 10 bugs catalogados como críticos; casi todos son comunes a todas las plataformas y suelen tratarse de cuelgues y caídas de la aplicación. Uno es exclusivo de Linux y tiene que ver con la función fsync, otros dos ocurren solamente en Windows. Aunque ninguno de estos podría explotarse para acceder a información privada de los usuarios, todos ya han sido resueltos.
Ahora se espera que el miércoles ya estén disponibles para descargar los primeros "builds" nocturnos de la RC2. Desde Mozilla aseguran que esto no implicará un ningún retraso en el lanzamiento de la versión final de Firefox 3.0, previsto para el próximo 6 de Junio.
11:10.
11 comentario(s).
Nuevos comentarios deshabilitados.
Publicado por vivab0rg el 25/05/2008
En los últimos días se ha venido comentando de que el beneficio que va a traer Firefox 3.0 no será tan grande, o bien que el producto no va a salir completamente depurado y libre de bugs. En este punto tenemos que ver las dos partes, por una, los blogs que comentan esta noticia. Por otra parte, la respuesta de Mozilla, de parte de Mike Shaver.
La nueva versión de Firefox guarda sus datos, como marcadores, descargas, historial y las distintas bases de datos en un formato libre y abierto como es SQLite (que es utilizado para la nueva barra de direcciones inteligente). SQLite parece ser que tiene problemas de rendimiento (a pesar de ser mucho más ligero y rápido que otras bases de datos, como MySQL u Oracle) con algunos sistemas GNU\Linux, que utilicen un sistema de archivos ext3 (que suele ser el más usado), y con una determinada configuración de montaje.
Por este motivo, Mozilla ha decidido crear una nueva preferencia oculta (las que podemos ver en about:config) llamada toolkit.storage.synchronous, que permitirá decidir qué modo de sincronización queremos utilizar en nuestro Firefox 3.0, para poder prevenir cuelgues del ordenador (no sólo de Firefox) y un mejor rendimiento de nuestro querido navegador.
18:58.
7 comentario(s).
Nuevos comentarios deshabilitados.
Publicado por vivab0rg el 13/03/2008
Con la llegada de la versión 1.0 final de Wine planeada tentativamente para su próximo aniversario número 15 (alrededor del 1 de Junio de este 2008), sus desarrolladores identificaron aproximadamente 180 errores (bugs) dignos de corregir antes de su lanzamiento. 63 errores de Wine 1.0 ya fueron corregidos, pero otros 101 todavía están pendientes y no pueden solucionarse todos. Si tú quieres ayudar a decidir cuáles de ellos merecen corregirse antes puedes hacer escuchar tu opinión siguiendo estos pasos:
- Registrarse en el Bugzilla de WineHQ.
- Seleccionar tu bug favorito de la lista anterior.
- Hacer click en el enlace "Vote for this bug" en la página del error en cuestión.
09:29.
Nuevos comentarios deshabilitados.
Publicado por vivab0rg el 23/04/2007
La más avanzada base de datos de código abierto se actualizó 5 veces el día de hoy para corregir un error de escalamiento de privilegios como resultado de la nueva y más minuciosa auditoría de su código por parte de agencias gubernamentales y empresas concientes de la seguridad. El error que puede explotarse maliciosamente se encuentra más específicamente en la función SECURITY DEFINER y por lo tanto todos sus usuarios son urgidos a actualizarse inmediatamente. Una vez actualizados, otros pasos más son necesarios para estar completamente resguardados, como se explica en este documento.
21:52.
Nuevos comentarios deshabilitados.
Publicado por vivab0rg el 21/04/2007
El próximo VMWare Workstation 6.0 (WS6) podría convertirse en una muy buena herramienta para el desarollo del Kernel Linux. Por lo menos así se desprende de una nueva características incluída en la última versión preliminar de WS6 que permite usar GDB corriendo en el sistema anfitrión para debuggear el Kernel ejecutándose en la instancia de la máquina virtual (VM) sin ninguna modificación en esta última.
De esta manera, no sería necesario KDB, ni recompilar el Kernel ni una PC extra para hacer esa engorrosa tarea: ahora sólo es necesario modificar una sóla línea en el archivo de configuración de la VM y todo está ahí: breakpoints, inspección de memoria, ejecución paso a paso, etc.
23:58.
Nuevos comentarios deshabilitados.
Publicado por vivab0rg el 15/04/2007
Se descubrió un serio defecto en el driver del Kernel Linux para los chipsets Wi-Fi Atheros que permitiría a un hacker malicioso ejecutar código arbritario en la PC atacada, aunque no se encuentre conectada a la red inalámbrica. El autor del descubrimiento del error que produce un desbordamiento de la pila del Kernel notificó a los autores del muy popular driver MadWi-Fi antes de hacer pública la vulnerabilidad, quienes se apresuraron a lanzar un "parche". Sin embargo, es probable que este parche no haya sido incluído todavía por varias distribuciones GNU/Linux, así que se recomienda a los usuarios de este chipset actualizarse manualmente.
23:23.
Nuevos comentarios deshabilitados.
Publicado por vivab0rg el 16/10/2006
Una reciente advertencia de seguridad publicada hoy dice que "el driver binario de NVidia para Linux es vulnerable a un desbordamiento del búffer que le permite al atacante ejecutar código arbitrario como superusuario. Este error puede ser explotado tanto local como remotamente". Una prueba de concepto del exploit es incluído como ejemplo, y además se continúa advirtiendo que los drivers binarios para FreeBSD y Solarios muy probablemente también sean vulnerables.
Pero lo más jugoso de todo es la conclusión final de los autores de este descubrimiento:
"Es nuestra opinión que el driver binario de NVidia continúa siendo un riesgo de seguridad inaceptable basado en la gran cantidad de reproducibles y no corregidos cuelgues que hemos reportado públicamente en foros y bases de datos de errores".
22:24.
Nuevos comentarios deshabilitados.