Vulnerabilidades en Mozilla

Vimos en VSAntivirus una lista extensa de vulnerabilidades que afectan a diversos productos de Mozilla (nadie es perfecto). Recogimos las mas importantes para que estén informados:

• Los navegadores Mozilla y Firefox son propensos a una vulnerabilidad que permite eludir el control de acceso al sistema. Esta vulnerabilidad puede ser explotada para revelar información relacionada con archivos del equipo del usuario afectado, por ejemplo, para revelar si existe o no un determinado archivo.
• Utilizando JavaScript para automatizar un proceso de ingreso de datos críticos, un atacante remoto puede explotar esta vulnerabilidad para mostrar al usuario un sitio falso, haciéndole creer que se encuentra en uno verdadero.
• Mozilla y Firefox poseen la funcionalidad de la combinación ALT + clic, que permite la descarga de archivos desde un enlace determinado, a la carpeta de descarga por defecto, sin que se muestren al usuario ventanas de diálogo. Un sitio malicioso podría explotar esta funcionalidad para descargar un archivo a la carpeta local por defecto, sin necesidad de ninguna interacción con el usuario.
• Se ha reportado que Mozilla Thunderbird, responde erróneamente a una solicitud de una cookie contenida en un mensaje electrónico con formato HTML. Esta vulnerabilidad puede ser utilizada por un atacante remoto para rastrear los correos electrónicos de la víctima.
• Mozilla Firefox es propenso a una vulnerabilidad que permite la ejecución local de código. La vulnerabilidad reside en la característica de marcador dinámico (livefeed bookmark). Se ha comprobado por ejemplo, que si se despliega “about:config” cuando el marcador dinámico es actualizado, puede producirse la ejecución arbitraria de código en el equipo afectado.
• Se ha reportado que Mozilla Thunderbird no maneja correctamente un URI como “javascript:”. La aplicación afectada utiliza el manejador por defecto para “javascript:” cuando, es registrado en el sistema operativo. Este es un comportamiento erróneo que puede resultar en la exposición a otras vulnerabilidades latentes, debido a una falsa sensación de seguridad.

Existen pruebas de concepto para todas estas vulnerabilidades.

La buena noticia es que al actualizar Mozilla, Firefox y Thunderbird, vemos que todo esto está corregido. ¿Estás al dia?

3 comentarios

Yahoo dentro de contexto

Y!Q es el nuevo servicio de Yahoo! , consta de la búsqueda contextual, o por decirlo de otra forma, al alcance de la mano sin sacar la vista de la página web.

Asumen lo obvio: más de una vez nos ha pasado de estar mirando una página, ver una palabra clave dentro o fuera de contexto y decir “Mmmh, luego voy a buscar [la palabra] en mi buscador favorito, a ver que sale”. Por supuesto, que al no haberlo anotado, cerramos la página y nos olvidamos qué era.

Yahoo! se enorgullece de decirte “tenemos la solución”. Una vez localizada la palabra a buscar, solo la “pintamos” con el mouse y
una ventana contextual nos muestra una lista de páginas que haya encontrado Yahoo, relevante a la palabra buscada. Eso sí, primero tenemos que haber instalado la Y!Q DemoBar.

Hace pocos días, MSN prescindió de los servicios de Yahoo! para las búsquedas, sustituyéndolo por su propio “poderoso” motor de búsqueda (lo pongo entre comillas porque sinceramente no lo he probado.. ¿será mas poderoso que Yahoo, por ejemplo?). Nos preguntamos, ¿cuánto falta para que el mercado se sature?, ¿no estará ya saturado?.

Nosotros hace muchos años que usamos, de forma casi exclusiva, Google Todopoderoso. ¿A9, Yahoo, MSN? ¿Van a conseguir hacerle daño a Google?

1 comentario

La vaca como estandarte

Como podemos leer en ZONAi, los dueños de Milka, Oreo y otras tantas, la empresa Kraft, quiere fagocitar una pequeña empresaria francesa (profesión: costurera) llamada Milka Budimir, por haber registrado milka.fr. Los abogados tienen alegatos al parecer absurdos.

Registrar un nombre de forma abusiva con el objetivo de revenderlo, negociarlo con la compañía propietaria legítima, abusar, bloquear el acceso a la marca y utilizar la notoriedad del nombre para aumentar el tráfico en el sitio en cuestión.

Piden € 6.500 de indemnización (no veo por ningún lado que también pida los derechos de milka.fr). La víctima, en cambio, sólo pide € 100.000 por problemas de salud generados por el procedimiento abusivo de Kraft. Estamos ante una persona bien asesorada; su abogado describe los procedimientos como “presiones increíbles”.

Mientras buscaba más información al respecto, me encuentro con que en Barrapunto que se pregunta cómo el caso llega a tribunales cuando lo único que puede confundir al visitante es el nombre del sitio, no así el contenido o el producto ofrecido. Mi pregunta es ¿cuánto dinero se ahorra Kraft por comprarle el sitio a un valor abultado, en vez de entablar juicios por seis mil quinientos euros a una persona quizás sin tanto poder adquisitivo? ¿Será que los abogados son a sueldo y tienen que mantenerlos ocupados para no sentir que pierden dinero?

Muchos han tenido la idea de sobornar una empresa a cambio de su sitio web. La Sra. Budimir lo hizo sin esa voluntad destructiva y/o materialista, y así le esta yendo: unos señores que tatúan su nombre en una vaca violeta la acusan de llamarse Milka. ¿Cuál será el desenlace? Comente y vote.

2 comentarios

Un pequeño cambio

Hace ya unos meses que cedí html life a mi estudio. Dejo de ser un blog claramente unipersonal y en teoría, durante todo este tiempo, lo ibamos a mantener entre todos los integrantes del estudio.

Sin embargo, durante mucho tiempo me fue difícil dar realmente el paso de “compartir” este weblog. Es curioso, ya que este weblog originariamente tenía varios autores, que con el tiempo y por meritos propios, acabaron siendo mucho más conocidos y respetados que un servidor.

Ayer, por fin, rompí varios años de dictadura sobre el weblog e Ismael publicó sus dos primeras anotaciones en este blog. Si bien todavía ejerzo algo de control sobre los contenidos, creemos que es un cambio muy beneficioso. Más anotaciones, más puntos de vista.

Ismael tiene un claro perfil técnico y le va a ser difícil ceñirse a temas de diseño, por lo que dentro de poco también Sergio, diseñador en studio.st, empezará a escribir en breve. Estaría bien que alguien le dejara algunas sugerencias a Sergio para empezar, ya que no tiene experiencia escribiendo en blogs y este inmenso Textarea vacío le da mucho respeto.

Esperemos que con la ayuda de ambos podamos repotenciar el weblog.

(Tendremos que volver a añadir el campo “Author” a los posts)

by Walter

2 comentarios

Autobombo

Que bien que sientan, de vez en cuando, unas palmaditas en la espalda. Además por fin tenemos constancia escrita de que le hemos robado, al menos, un usuario a Bloglines.

• De Bloglines a Feedness
  
  “Recuerdo la primera impresión, muy grata y con una perspectiva de futuro muy prometedora. Ahora, dos meses después, doy el salto definitivo desde bloglines.”
• Confío en Feedness
  
  “Es el sistema que elegí entre otras alternativas, como Bloglines y FeedManía (interesantes también). Nosé porqué, pero su interfaz tan sencilla y su extremo cuidado en los detalles me inspira confianza.”

Hay veces que el ego puede ser el mejor de los combustibles. Acabamos de llenar el tanque…

7 comentarios

Netscape 8 en dos semanas

Netscape, parte de AOL – Time Warner, está a 16 dias a la fecha, de retirar las lonas para descubrir 2 nuevas obras: la segunda prueba (o beta) de Netscape 8, y el portal rediseñado de netscape.com .

La empresa, fundada hace 10 años por los creadores del explorador pionero Mosaic, alguna vez tuvo el 80% del mercado de exploradores. Hoy por hoy, Internet Explorer de Microsoft goza del 90% del uso mundial, según la mayoría de las encuestas. Sin embargo, Mozilla Firefox ha hecho una campaña casi sangrienta, haciéndose bajar 20 millones de veces desde su salida en noviembre.

Fue entonces que Netscape puso manos a la obra, y valiéndose de la fama de Internet Explorer en cuanto a vulnerabilidades (sobre todo en temas de seguridad), publicitan su nueva versión del navegador como un software bastante más seguro. Se han asociado con diversas empresas de seguridad para que el software recoja automáticamente, listas negras de sitios sospechosos de usar spyware, phishing y código hostil, entre otras cosas.

El “phishing” consta en diseñar una página parecida a la de un sitio confiable (pongamos de ejemplo, un banco local), donde el usuario ingresa información clasificada como documentos o tarjetas. El navegador busca en la lista los sitios desconfiables y confiables, y los identifica con un icono rojo y verde respectivamente. Los sitios desconocidos los pone en amarillo.

Ya en noviembre, Netscape lanzaba su versión 8 “Alfa” o primer prueba, basada en el motor de Mozilla Firefox. Entre las sorpresas encontradas, estaba la opción de ver los sitios en el motor de Gecko (también de Mozilla) o incluso del mismísimo Internet Explorer, si la página no se ve correctamente en Netscape.

Se los conoce como el navegador No.2 en el mundo, y no quieren que Firefox gane más terreno. En cuanto al rediseño, ya habrá tiempo para juzgarlo. Es hora de mirar el sitio con ojo clínico para discernir futuras mejorías de futuras falencias.

4 comentarios

Solaris ya es opensource

OpenSolaris es el nombre. Sun Microsystems decidió pasarse a código abierto para contrarrestar (o beneficiarse de) la popularidad y el crecimiento de Linux. La empresa ha perdido una cifra importante de ventas de su UltraSPARC; el cliente prefiere un servidor con linux y un Intel de bajo costo.

Según se explica en su página:

• Solaris 10 es el UNIX No.1 del mundo y fija el estándar para la próxima generación de sistemas operativos con innovaciones masivas en funcionalidad y performance. Es un sistema operativo de clase mundial para la empresa, el escritorio y todo lo que esta entremedio.

La migración gradual es encabezada con el lanzamiento del código de DTrace (Dynamic Tracing), un componente de Solaris que le permite al desarrollador saber qué tan bien funcionará su código. Sun abrió 1.670 patentes para evitarles acciones legales a los desarrolladores, casualmente unos pocos días después que IBM había liberado 500 licencias.

Aseguran que sus clientes comerciales continuarán pagando por Solaris 10 y por los contratos anuales de soporte técnico. Se calcula que a mitad de año, OpenSolaris estará disponible en su totalidad.

1 comentario

El ego como negocio

¿A qué autor de weblog que se precie no le gustaría que su sitio fuera inmortalizado en un libro?

Recientemente, una de las autoras a las que más admiro, anunció en su weblog que la editorial Aguilar y ella habían llegado a un acuerdo para convertir el blog en un libro que estará disponible en España (suponemos) a partir del 9 febrero. Aprovechamos para felicitarla.

Resulta, que a partir de ahora, desde San Francisco, Blogbinders nos ofrece la posibilidad de convertir nuestro weblog en un libro por precios que empezarían por unos 10-15 dolares americanos la unidad.

La idea me parece sencillamente genial.

Se me hace curioso que después de años leyendo acerca del ego de los autores de weblogs, es la primera vez que me encuentro una iniciativa interesante para monetizar dicho efecto.

Nosotros haremos un esfuerzo por escribir más a partir de ahora, para que el día que encarguemos el nuestro consigamos que el producto final tenga más aspecto de libro que de cuaderno. Como decía Al Pacino en El Abogado del diablo: “De todos los pecados, la vanidad, es mi favorito”.

6 comentarios

La cultura de la hostilidad

Pronto harán 4 años que empecé a escribir y a leer weblogs.

Supongo que a la mayoría le habrá pasado lo mismo: Los comienzos fueron lo mejor.

No me refiero a los primeros días escribiendo mi propio weblog, sino que al principio o al menos hace cuatro años, esta actividad era relajante y enriquecedora. Había una sincera sensación de comunidad entorno a los que escribiamos weblogs. Era entonces y no ahora cuando existía realmente algo parecido a lo que el termino “blogosfera” pretende describir. De hecho, era casi inusual encontrarse con weblogs nuevos y al final casi que conocias la mayoría de ellos. (Evidentemente hablo de weblogs en español)

De esa mayoría que antes conocía ahora quedan unos pocos, muy pocos en realidad.

Si tuviera que escoger un anotación que resumiera porqué ahora todo es tan distinto, sería “Algo se ha roto” (no hay rastros de ella) de earful. Fue la anotación con la que mi muy respetado earful se despidió de nosotros y si bien, tiempo después volvió, tal y como el dijo, algo se había roto.

No se muy bien como empezó, pero de un momento a otro todos tuvimos que hacer frente a algo inesperado y en ese entonces prácticamente desconocido: La hostilidad

Se bien que hay quien dice que los weblogs son incapaces de crear una cultura, pero si como parte de la cultura incluimos el comportamiento humano, nunca he visto propagarse nada de la misma manera.

Desde entonces los que escriben weblogs están sometidos a una hóstil opinón pública, normalmente compuesta por otra clase de escritores que alimenta sus blogs con hostilidad. Si pronosticas, eres un gurú, si intentas mejorar algo, “estás reinventando la rueda”, si aportas, siempre encuentras a alguien a quien tus ideas le resultan ofensivas porque contradice algo que escribió recientemente y al final, uno casi que tiene que cuidar hasta la dieta para liberarse de estos problemas.

Al final, uno acaba escribiendo menos y si lo hace, escribe sin señalar a nadie, cuidandose de no molestar a nadie y añadiendo casi en cada parrafo un “en mi humilde opinión”. De hecho, en este caso conrecto, incluso le robé la personalidad a este mi weblog y ya ni siquiera firmo mis anotaciones.

Por suerte, siguen habiendo cosas que me fascinan de esta actividad y es que pese a todo, sigo conociendo a gente muy interesante, sigo leyendo anotaciones admirables y sobre todo, cuando más lo necesito, sigo recibiendo el apoyo de mucha más gente de la que me podría haber imaginado. Asi que, a ver si podemos hacer que este “htmldeath” vuelva a ser pronto el html life que era antes, las ganas no me faltan.

8 comentarios