Menéame: comentarios [551235]

#14 Lanzado el parche para corregir la vulnerabilidad de Explorer

kadmon — Thu, 18 Dec 2008 18:38:34 +0000

#13 Majo, no sé donde miras tú pero dices que Firefox 3.X tuvo ¿8 vulnerabilidades?, más abajo te contesto pero, de momento vamos con esto:

Para empezar, hablamos de toodo este año 2008:

Firefox 3.0 fue publicado en junio de este año 2008, e internet explorer 7 el 18 de octubre de 2006 (wikipedia). De esto sacamos dos cosas:

Primero, si hablamos de este año entonces a esas vulnerabilidades que son del firefox 3.X tienes que añadirles las correspondientes a firefox 2.X que saliesen entre enero y junio de este año así que ya son unas cuantas más.

Segundo, si nos fijamos en la vida de uno y otro navegador vemos que IE 7 tiene mas del doble de vida que firefox 3 por lo que lo lógico será que tenga más o menos mas del doble de vulnerabilidades ¿no?, el doble de 8 son 16 y tú dices que IE tiene 11, muy bien, ya ves que ni llega al doble.

De ahí que para evitar este problema haya fijado un rango por igual para los dos, el rango comprende desde el 1 de enero de este año hasta ahora y así sí seríamos justos ¿no?.

Vale, aclarado esto, vamos con lo de arriba. Tío, no sé donde te informas pero yo me fío más de la propia página del firefox: www.mozilla.org/security/known-vulnerabilities/firefox30.html

Ahí vemos que, tan solo críticas, tan solo del firefox 3.0 ya tenemos trece vulnerabilidades, cinco más que esas ocho, imagínate si contamos todas, y también las que tocan de firefox 2.X.

Las trece:

www.mozilla.org/security/announce/2008/mfsa2008-69.html
www.mozilla.org/security/announce/2008/mfsa2008-68.html
www.mozilla.org/security/announce/2008/mfsa2008-60.html
www.mozilla.org/security/announce/2008/mfsa2008-55.html
www.mozilla.org/security/announce/2008/mfsa2008-54.html
www.mozilla.org/security/announce/2008/mfsa2008-53.html
www.mozilla.org/security/announce/2008/mfsa2008-52.html
www.mozilla.org/security/announce/2008/mfsa2008-50.html
www.mozilla.org/security/announce/2008/mfsa2008-42.html
www.mozilla.org/security/announce/2008/mfsa2008-41.html
www.mozilla.org/security/announce/2008/mfsa2008-36.html
www.mozilla.org/security/announce/2008/mfsa2008-35.html
www.mozilla.org/security/announce/2008/mfsa2008-34.html

Ahora tengo prisa así que no voy a contestarte a la otra parte de tu comentario pero, si quieres, mañana es otro día.

P.D: ya tengo gafas, gracias por preocuparte por mi salud ocular.

» autor: kadmon

#13 Lanzado el parche para corregir la vulnerabilidad de Explorer

kahun — Thu, 18 Dec 2008 17:21:52 +0000

#12

El parche para firefox salió mucho antes, es una de las ventajas del software libre, el parche está ahí, puedes bajarte el código y parchearlo tu mismo, esperar a que tu proveedor te lo parchee o esperar a que Firefox lo saque oficialmente, es una de las ventajas del software libre que IE nunca tendrá. Y no me digas que parchear es algo que no es fácil porque acabas de recomendar desactivar una dll

Y luego repites argumentación, sería más interesante atacar apache que se usa más que IIS pero claro estamos hablando de navegadores no de servidores web, sería más interesante atacar linux que windows ya que hay más sistemas críticos en linux pero claro ahora prima la cantidad no la cantidad, sería más interesante ser el primero en propagar un virus en bsd, mac o linux que ser uno más pero no, es más interesante aprovecharse del pobrecito IE, no será porque es ¿más fácil?

Y hablemos de vulnerabilidades:

- IE 7
secunia.com/advisories/product/12366/?task=statistics_2008
11 reportadas, 18% sin parchear, 9% extremadamente críticas

- Firefox 3.x
secunia.com/advisories/product/19089/?task=statistics_2008
8 reportadas, 13% sin parchear, 0% extremadamente críticas

Creo que está claro y si no lo ves comprate gafas

» autor: kahun

#12 Lanzado el parche para corregir la vulnerabilidad de Explorer

kadmon — Wed, 17 Dec 2008 19:09:58 +0000

#11 De tu comentario solo se saca que te gustan mucho los

1. Desactiva javascript, o en este caso la dll oledb32 y ya tienes un Internet Explorer seguro, sin rastro de esta vulnerabilidad. Al fin y al cabo es lo que hace el noscript: desactivar partes totalmente válidas.

La seguridad de un navegador no se mira por poder desactivar javascript o similar, algo que haces sin problemas también en IE, sino por lo bien o mal que se porta ante algo tan válido como el javascript.

Navegar con el noscript es como navegar a medias. No obstante, si tanto te gusta el noscript, una buena configuración de las políticas de seguridad del internet explorer hacen prácticamente lo que el noscript hace: permitir el javascript solo en aquellas páginas de confianza, es eso ¿no?, y sin necesidad de un pluging extra. Ya ves...

2. Si mal no recuerdo estamos hablando de Firefox y del IE, navegadores no sistemas operativos. No obstante, ante un fallo de seguridad igualmente explotable que cierta gente se decante más por un fallo que por otro (explote los de IE y no los de FF) no implica que el primer fallo sea más grave (en cuanto a nivel técnico) porque siguiendo tu lógica, mi caja fuerte de plástico con mil euros dentro es más segura que una caja de un banco pues a mi nunca me robaron y a los bancos si.

Está claro que es más interesante explotar un fallo que sufre el 75% de la gente que uno que sufre el 25%, si no lo ves cómprate gafas.

Y sigues sin saber si los fallos de FF fueron explotados o no.

3. Cumple su función, informa y da solución ¿o todavía no te enteraste de como se arregla este bug?. De cualquier manera ¿en qué afecta esto al bug que tratamos?.

4. Ah, ¿ahora ya no es un día como tanto cacareabas más arriba?, que, por cierto, ¿sabes contar? porque ¿cuanto va desde el 24-09-08 hasta el 12-11-08? 49 días, once más y son dos meses.

P.D: hasta mañana no esperes contestación que ya dejo el ordenador por hoy.

Y, venga, pon aquí todos los fallos críticos del Internet Explorer que salieron últimamente que yo ya puse los de FF a ver cuantos salen de uno y de otro.

» autor: kadmon

#11 Lanzado el parche para corregir la vulnerabilidad de Explorer

kahun — Wed, 17 Dec 2008 17:32:37 +0000

#9

1. Sí pero es una opción con la que cuentan los usuarios de Firefox y no los del IE, por ejemplo ante esta vulnerabilidad del IE ninguno de los workaround de Microsoft era suficiente y la única solución posible era no usarlo hasta que saliese el parche.

2. Claro, claro, siempre con el mismo cuento ... mayor interes tendrá Microsoft y las compañías antivirus en que un virus invada todos los linux, bsd y mac del mundo para que unos puedan demostrar que Windows es igual de inseguro y otros vender más antivirus, pero claro todavía estamos esperando sentados, aunque a lo mejor el blaster funciona con el wine

3. ¿Llamas a eso sistema de bugtracking? entonces no me extraña que seas capaz de llamar navegador al IE

4. ¿Los días? 1 mes, los mismos que tarda Microsoft normalmente en sacar sus parches solución desactivar javascript o usar noscript

» autor: kahun

#10 Lanzado el parche para corregir la vulnerabilidad de Explorer

kadmon — Wed, 17 Dec 2008 17:26:42 +0000

#8 Otra vez se me pasó el tiempo de edición, estoy haciendo otras cosas... así que añado a #9:

#8 Con respecto a tu parche, este salio, efectivamente, un día después pero ¿cuando estuvo realmente disponible para el público en general?, ¿o es que piensas que todo el mundo está pendiente de los fallos de firefox para aplicar los parches oportunos?, no, todo el mundo espera a las actualizaciones automáticas oportunas:3.0.3 - 3.0.4 - 3.0.5...

fue reportado el 24-09-08 por Brandon Sterne y el parche estuvo de forma oficial, vamos, actualizaciones automáticas para todo el mundo, con el Firefox 3.0.4 que salió el 12-11-08. Dos meses después.

De lo que hablamos hoy es de una actualización oficial y automática para todo el mundo como lo puede ser el actualizar firefox del 3.0.4 al 3.0.5.

Reportado: bugzilla.mozilla.org/show_bug.cgi?id=456896

"Fixed in": www.mozilla.org/security/announce/2008/mfsa2008-55.html

Lanzamiento del Firefox 3.0.4: www.mozilla-europe.org/es/firefox/3.0.4/releasenotes/

» autor: kadmon

#9 Lanzado el parche para corregir la vulnerabilidad de Explorer

kadmon — Wed, 17 Dec 2008 17:08:23 +0000

#8

1. El Noscript es un complemento que no tiene ni la mayoría de usuarios de firefox. Nada que ver con el navegador, la seguridad de un navegador no debe depender de un complemento sino de el mismo, y quien no tuviese el noscript se jodía.

2. ¿cuanta cuota tiene Firefox e Internet Explorer?, mucho mayor interés hay en explotar un bug del explorer que del firefox Y según tú no se estaban explotando, es que tú conoces y sabes lo que hace todo el mundo. No tienes ni idea de si estaban siendo explotados o no.

3. Claro que no... . Vamos, que hasta lo tienes en RSS por si quieres agregarlo. www.microsoft.com/technet/security/advisory/default.mspx

4. Si, claro, el primero... mira, este también es "el primero" bugzilla.mozilla.org/show_bug.cgi?id=436741 Cuenta tú los días, no tengo tantos dedos ni en las manos ni en los pies.
Teniendo en cuenta que solución a este bug lo hubo desde el día cero.

» autor: kadmon

#8 Lanzado el parche para corregir la vulnerabilidad de Explorer

kahun — Wed, 17 Dec 2008 16:40:47 +0000

#6 #7

1. Firefox tiene el noscript, IE no

2. ¿Cuantos de los bugs que aparecen estaban siendo explotados? el de IE lleva ya un tiempo.

3. Con Firefox tienes un bugtracking donde puedes ver claramente todos los bugs abiertos, su relevancia, posibles parches y workaraounds, con IE no.

4. Y por último, por poner un ejemplo este es el primer bug que he abierto:
bugzilla.mozilla.org/show_bug.cgi?id=456896
El parche salió un día después ...

¿hablas de envidia?

» autor: kahun

#7 Lanzado el parche para corregir la vulnerabilidad de Explorer

kadmon — Wed, 17 Dec 2008 16:32:40 +0000

Se me pasó el tiempo de edición.

Datos que respaldan a #6, fijaos cuanto hay en rojo (rojo = crítico).

www.mozilla.org/security/known-vulnerabilities/firefox30.html

www.mozilla.org/security/known-vulnerabilities/firefox20.html

» autor: kadmon

#6 Lanzado el parche para corregir la vulnerabilidad de Explorer

kadmon — Wed, 17 Dec 2008 16:27:05 +0000

#3 Si es irrelevante el parche a una vulnerabilidad crítica del navegador más usado del mundo por mayoría para que así la mayor parte de la gente pueda corregir el fallo (porque muchos tienen las actualizaciones automáticas desactivadas) y no sufran ataques... como, p ej, robos de datos privados y sensibles... que decir de lo otro.

Lo tuyo si que es irrelevante.

No sé que hablan los de firefox cuando prácticamente todos los fallos de este año tardaron en ser corregidos mas de un mes, FF 2.0.11, 2.0.12, 2.0.13... hasta hoy, el 3.0.5. siendo que Microsoft lo corrigió en días, ¿envidia?.

Hay, menéame, cada día te pareces más a un parbulario.

Me parto, ahora recibiré negarivos, que pena... .XD

#5 Tienes razón, aunque ya se entiende.

» autor: kadmon

#5 Lanzado el parche para corregir la vulnerabilidad de Explorer

gontxa — Wed, 17 Dec 2008 16:08:46 +0000

Explorer <> IExplorer

(Amoooos, que lo tenga que decir un linuxero)

» autor: gontxa

#4 Lanzado el parche para corregir la vulnerabilidad de Explorer

binary — Wed, 17 Dec 2008 16:03:40 +0000

El parche se llama Firefox

» autor: binary

#3 Lanzado el parche para corregir la vulnerabilidad de Explorer

HeavyBoy — Wed, 17 Dec 2008 16:03:30 +0000

No es duplicada, pero es irrelevante de cojones.

» autor: HeavyBoy

#2 Lanzado el parche para corregir la vulnerabilidad de Explorer

otrobloginutil — Wed, 17 Dec 2008 15:55:39 +0000

Y eso cómo se instala, porque no me aparece en el apt?

» autor: otrobloginutil

#1 Lanzado el parche para corregir la vulnerabilidad de Explorer

--94589-- — Wed, 17 Dec 2008 15:49:07 +0000

Explorer debe ser casi todo entero un parche

» autor: --94589--