Categoría: Miscelanea

Vulnerabilidad en Firefox 1.5

No solo comentamos las cosas buenas de Firefox, de vez en cuando hay que darle collejas.

Se ha detectado una vulnerabilidad que provoca que el archivo history.dat, en el que se almacena, como su nombre sugiere, el historial de las distintas webs visitadas con el navegador, crezca de forma desorbitada.

En concreto el script no hace más que establecer para document.title (el título del documento) una cadena de texto de tamaño desproporcionado.

Todos los intentos de volver a iniciar Firefox con este history.dat dañado fallarán hasta que se inicie el navegador con un nuevo perfil o bien se borre el archivo de historial.

Existen distintas soluciones temporales:

* Deshabilitar el historial: Herramientas -> Opciones -> Privacidad -> Historial, e introducimos ‘0? como valor para «Recordar páginas vistas en los últimos n días».
* Deshabilitar la ejecución de código Javascript: Herramientas -> Opciones -> Contenido, y desmarcamos la casilla «Activar JavaScript».
* Impedir que los scripts puedan modificar el título de los documentos, añadiendo una nueva clave en about:config con nombre «capability.policy.default.HTMLDocument.title.set» y valor «noAccess»

No creo que tarde mucho en aparecer una solución mas estable y segura. Conociendo como funciona esto…
Via Mundogeek

Internet está sin acabar

El director de Tecnología de Sun Microsystems pronostica que la computación se convertirá en un servicio básico, como la luz o el teléfono.
Asegura que: «Internet es como la Sagrada Familia, está por acabar»

Lo publica hoy Ciberpais.
Alguna de sus frases:
Ahora, las tecnologías de la información, ya sean de Microsoft, de Oracle o de Red Hat encierran a la gente en su plataforma, haciendo que sea muy caro cambiar. El principio de los servicios básicos o de primera necesidad es que los precios sean transparentes, pero también que cambiar de proveedor no cueste nada, aunque mucha gente piensa que porque la computación sea un servicio básico los ordenadores serán más baratos.

El futuro de todo el software, muy particularmente el de infraestructura, será abierto. Ya sean los sistemas operativos, o capas de software encima de esto que permiten las aplicaciones, serán todos abiertos.

Multa a Microsoft

Microsoft, sancionada por monopolio en Corea del Sur.

Según El Mundo:
La Comisión Antimonopolio de Corea del Sur ha sancionado al gigante informático Microsoft con una multa de 32 millones de dólares por violar las leyes que regulan la libre competencia en este país.

Esta institución, que persigue los casos de competencia desleal en Corea del Sur, también ha ordenado a la firma de Bill Gates que separe su servidor Media Player y su programa de mensajes instantáneos MSN Messenger de su sistema de operaciones Windows, por considerar que vulnera esa libertad de competencia.

Tal medida correctiva se extenderá durante los próximos diez años, según dijo la Comisión Antimonopolio en un comunicado citado por la agencia de noticias Yonhap.

Microsoft debe vender dos versiones de su sistema de Windows, una sin el Media Player y el MSN Messenger y otra con estos dos programas incorporados. La práctica de Microsoft, al ligar tales programas en un paquete con Windows «ha dañado los intereses de los consumidores y limitado la libre competencia en el mercado», afirmó el presidente de la Comisión Antimonopolio, Kang Chul-kyu, en una rueda de prensa.

Predicciones 2006


Se acerca el final del año, y es época de hacer resumen de lo pasado, pero también de hace previsiones de lo que puede venir.

Las primeras que leo son las de José Luis Orihuela, que pronostica crecimiento de Google, de las redes wifi, de las redes sociales y de los blogs (¿mas todavia?).

Acertará en su mayoría, pero lo mejor será aquello que nos sorprenda y que nadie haya pronosticado.

Predicciones 2006

Se acerca el final del año, y es época de hacer resumen de lo pasado, pero también de hace previsiones de lo que puede venir.

Las primeras que leo son las de José Luis Orihuela, que pronostica crecimiento de Google, de las redes wifi, de las redes sociales y de los blogs (¿mas todavia?).

Acertará en su mayoría, pero lo mejor será aquello que nos sorprenda y que nadie haya pronosticado.

Software libre y la Administración Publica

Hace unos días puse un post, donde aplaudía la decisión del congreso de favorecer el Software Libre. Ahora me acabo de enterar de que no todo es tan bonito como parecía.

Al parecer, para favorecer la neutralidad de la elección del Software, se va a crear una comisión que determinará «neutralmente» que es mejor, si el software propietario o el Libre, como si esto no se decidiese por motivos obvios.
Para empezar no es muy lógico que se cree una comisión con este objetivo, entre otras cosas, porque no está muy claro quien defenderá cada uno de los lados (me da que pensar que habrá mas defensores del propietario).

De paso he leido una carta de un miembro de Microsoft Perú al respecto del uso de Software Libre en la administración y la respuesta de un congresista. Digno de leerlo detenidamente.

Entrevista a PASCAL CHEVREL en El Pais

El Secretario general de Mozilla en Europa, PASCAL CHEVREL, ha sido entrevistado por el diario El Pais. Aqui está su entrevista.
También se refiere a ella, él mismo desde su blog..

La entrevista finaliza asi:
P. ¿Qué novedades importantes podemos esperar de las próximas versiones de Firefox? ¿En qué trabajan actualmente?.

R. : En muchas cosas. Estamos cambiando el subsistema grafico de Firefox para Cairo, un subsistema grafico multiplataforma que puede aprovechar las capacidades de las tarjetas graficas modernas y que evita tener diferencias de velocidad entre sistemas, además de simplificar la tarea de los programadores. También estamos preparando mejoras al soporte de estándares. Ya es impresionante pero nunca paramos. Y es posible que mejoremos mucho los marcadores, porque es una parte del navegador que no ha cambiado desde Netscape2 y hoy esta un poco limitado. Estamos pensando en como hacerlo mas inteligente y útil para el usuario.

Actualización del lenguaje de programación PHP

Se acaba de publicar la versión 5.1.1 del lenguaje de programación PHP, solucionando varios problemas de seguridad.

PHP (PHP: Hypertext Preprocessor) es un popular lenguaje de scripting de código abierto, muy utilizado para el desarrollo de pequeñas aplicaciones web.

La rama 5.1.*, además de nuevas librerías y retoques en el lenguaje en sí, soluciona diversos problemas de seguridad:

* Nuevas comprobaciones de seguridad en las funciones «image*».

* Nuevas comprobaciones de seguridad en la librería «cURL».

* Nuevas comprobaciones de seguridad en la gestión de subida de ficheros al servidor PHP.

* Actualización de seguridad de varios componentes integrados, como las librerías zlib, openssl, curl, y otros.

* Corrupción de memoria en «ImageTTFText()».

* Corrupción de memoria en «pg_copy_from()».

* Corrupción de memoria en «stristr()».

* Varias sobreescrituras posibles de variables globales, bajo ciertas circunstancias.

* Varios problemas de liberación múltiple de memoria.

De momento el equipo de desarrollo PHP no ha indicado si va migrar o no los parches de seguridad a la rama 5.0 pero, juzgando por eventos semejantes anteriores, nos parece dudoso.
Las instalaciones que hayan sido actualizadas a la versión 5.1.0 de PHP deberán realizar una nueva actualización a la 5.1.1, publicada apenas cuatro días después, que soluciona un problema de seguridad en el módulo «cURL» y numerosas regresiones y problemas de estabilidad.

Por lo tanto, Hispasec recomienda la actualización a PHP 5.1.1. Debemos destacar, no obstante, que esta versión puede no ser enteramente compatible con los «scripts» programados para la versión 5.0. Entre los enlaces al final de este boletín encontrarán uno en el que se detallan los cambios necesarios para solucionar incompatibilidades.

Via Hispasec