Proponha uma correção, faça uma sugestão
Nova vulnerabilidade descoberta no Firefox 3.5.1
Na quinta-feira passada a Mozilla lançou o Firefox 3.5.1 com o intuito de resolver vários problemas com a versão 3.5 e para resolver uma falha grave ao nível do motor de javascript. Inclusive a Mozilla aconselhava mesmo a desligar o motor JavaScript JIT (Just-In-Time), escrevendo na barra de endereços about:config e escreva jit no campo de filtragem. Depois era somente dar dois cliques sobre o javascript.options.jit.content e alterar o valor True para False. Ficando assim a função desligada.
Agora, existem relatos confirmados de uma segunda vulnerabilidade. A vulnerabilidade é devido a um buffer-overflow na pilha de memória, despoletada por enviar uma string demasiado longa de dados unicode para o método document.write. Esse document.write é uma função básica de javascript, para output => escrita de texto.
A vulnerabilidade foi relatada à SecurityFocus (BID 35.707) em 15 de Julho. Esta manhã, um relatório do SANS Internet Storm Center, seguido de um alerta da IBM ISS X-Force, confirmou que esta vulnerabilidade está presente no Firefox 3.5.1.
A vulnerabilidade é uma pilha de funções overflow do buffer, tendo origem numa string de código em Unicode. Esta acção usa um método já conhecido de exaustão dos serviços e recursoso do browser que os levam a falhar (crashes, freezes, etc...), tudo em volta do pedido demasiado longo ao document.write. Pode ver aqui a falha exemplificada e como é simples a sua strutura.
Segundo várias fontes, não há patch neste momento para aniquilar a vulnerabilidade. Além disso, esta vulnerabilidade foi descoberta pela mesma pessoa que divulgou detalhes sobre a falha anteriormente corrigida.
De acordo com um comentário no SANS ISC, eEye disse que neste caso não ajudaria nada instalar a extensão noscript*.
"Nota: Embora o acesso ao Javascript possa ser restrito com add-ons do tipo noscript, pode ainda ser possível que o navegador seja explorado por esta vulnerabilidade, basta para isso que o site carregado seja de confiança do utilizador e esteja a propagar esta invasão.
Outra das situações que o utilizador poderá optar é por desligar a interpretação de JavaScipt pelo browser. para isso vá ao menu Ferramentas, Opções e no separador Conteúdo, desliga a opção Activar JavaScrpt.
Novamente, este procedimento não é 100% seguro pois em páginas que sejam de sua confiança continua a existir a tal vulnerabilidade.
Conforme o browser vai crescendo e satisfazendo mais utilizadores, torna-se também mais problemático, situação por nós conhecida do Internet Explorer. A Mozilla tem contudo tentado colmatar rapidamente os problemas, mas estes estão a tornar-se cada vez mais frequentes. Veremos se a versão 3.5 do Firefox não será uma dor de cabeça para a Mozilla.
Este artigo tem mais de um ano
Loading ...
Depois ainda dizem que o pplware não é imparcial e só fala mal da Microsoft!
Quem diz isso é estúpido e vem com alguma intenção, por isso nem conta para o totobola.
Outra coisa é… o Pplware não diz mal de nada, apenas informa com a percepção do autor na notícia, isso é completamente diferente, temos sempre factos que justificam a nossa hipotética opinião num determinado artigo.
Somos isentos QB e estamos há muitos anos por estes lados, a experiência serve-nos de auxilio na interpretação do mercado e das informações que esse mercado expele.
Totalmente de acordo! Nota: eu quando disse “dizer mal” não me referia ao verdadeiro sentido da palavra. Talvez o mais correcto fosse: Ainda dizem que o pplware não é imparcial e só informa os erros da Microsoft!
Eish!
Mas isso sempre foi um problema do pplware nunca aceitou muito bem as criticas principalmente de más traduções e brasileirismos. Eu já fiquei duas semanas bloqueado por causa disso tive de apagar o cookie que me bloqueava.
Já agora 😛 não se diz reportar diz-se relatar. Report em português é relatório. To report é relatar.
Percebo que as tradução ou possíveis “conversões” linguísticas sejam complicadas. Mas tenho de sair em defesa do Vitor, o comentário inicial do Manuel Jose é inicialmente bastante diferente da explicação que posteriormente dá.
E se as defesas são constantes é porque os ataques são constantes.
O ppl é gratuito e informa considerando as fontes e pontos de vista. Quem não concorda comenta e fundamenta ou então nem visita. Agora tarem sempre a dizer que o ppl é isto ou aqui ou ganha ou não dinheiro são comentários de quem precisa ser ouvido.
Beijos e abraços
Manuel, não é uma questão de parcialidade ou não a meu ver e uma questão de noticiar, e não me posso queixar muito do pplware, tirando uma ou outra situação.
Não é por nada ou o javascript é um problema grave para os browsers? É engraçado como uma coisa que parece insignificante crie tantos problemas aos programadores.
Já não me lembro se foste tu que te queixaste disso, mas eu não quis criticar ninguém, pois acredito que quem disse “o pplware não relatou a falha x por não ser da Microsoft”, não teve intenção de criticar, mas sim de expressar a sua opinião. Eu apenas expressei a minha opinião e respeito as opiniões dos outros.
Quanto ao Javascript, eu por experiência própria digo que muitas vezes o que parece mais simples é o que causa mais problemas. Estou a falar a nível geral, não estou só a falar só de browsers e páginas web.
Tens boa memoria Manuel, mas não me queixei do pplware, mas sim de algumas pessoas que fazem parte deste, a culpa não é do todo mas de alguns, eu considero que algumas pessoas remam para todos os lados, outras sempre para o mesmo.
Quanto ao que disseste, é bem verdade, mas não consigo perceber porque é que isso acontece, será que o javascript é assim tão «poderoso», foi mal concebido, ou os é problema dos browsers, alguém deve ter a culpa, penso eu de quê…
Pelos visto o Firefox está-se a tornar numa praga de debelidades….
Pelos visto o Opera ainda é melhor… 😉
É mais rápido e consome menos recursos mas está cheio de bugs… fui obrigado a deixar de o usar por não me conseguir carregar correctamente as páginas que mais uso.
Quanto ao Firefox, este 3.5 passa o tempo a crashar de cada vez que quero fazer alterações aos sites em Joomla.
🙁
Está? Pior está o IE8.
Sério? Hm.. acho melhor não actualizar já então.. Não sabia dessa, obrigado pela info!
até à data sem problemas e a qualidade mantém. FF sem probs
Não me parece que o Firefox se esteja a tornar numa praga de debilidades… Mas parece-me que o teu português está: “debelidades”?? ou “debilidades”?????.
Ai, ai…
Uma letra.
Foi uma letra apenas. E ainda por cima um erro comum no português, que é trocar um E por um I.
Vamos manda-lo prá primária então. >_>
Eu actualmente uso o firefox, mas acho que os bugs dele começam a ser demais… Já não é a primeira nem a 2 vez que ele me crasha em alguns sites, as vezes até a fazer login no paypal…
A verdade é que o IE e o Opera pelos vistos andam com muito menos bugs… Embora eles sejam rapidos a resolver devem sempre existir pessoas afectadas por estes bugs que podem comprometer a segurança.
O IE cm menos bugs??
Por incrível que pareça voltei a usar o internet explorer e estou a gostar.
E dessa forma andas de cavalo pra burro.
São opiniões que devemos respeitar. Além disso, mau era se só houvesse um browser. Já disse isto no fórum e noutros tópicos e volto a dizer aqui: com a concorrência o consumidor é que ganha, pois é mais bem servido 😉
ok…continua lá tu de jerico!
De jerico andas tu.
Jardim de infância não é aqui…
Só não concordo com o comentário “Conforme o browser vai crescendo e satisfazendo mais utilizadores, torna-se também mais problemático, situação por nós conhecida do Internet Explorer.”
Por agora está dentro da média da Mozzila, a diferença para outros continua a ser a velocidade com que estas falhas são corrigidas. Por norma até são encontradas mais falhas no Firefox que no IE. Houve uma altura que era quase o dobro por mês. Mas a questão é mesmo: quanto tempo de insegurança acumulada existe. Nisso o Firefox tem sido exemplar porque por norma quando se descobre como tomar partida da falha esta já está corrigida. No IE por exemplo as falhas só se descobrem porque alguém já descobriu como tomar partido delas.
Uma coisa é certa, como é um software open source, as falhas não são só mais rapidamente detectadas como também mais rapidamente corrigidas. Viva a liberdade que só o open source nos dá ! M€ Jamais !!
M€? Lol, desde quando é que a Microsoft é europeia? 😛
Tenho + crashes no IE8 que FF3.5 e Opera. Isto ker dizer alguma coisa.
Sim, quer dizer que tens que aprender a configurar a tua maquina!
Para isso tens primeiro de passar no exame da 4.º classe e depois deixar de ser criança (comprovado pelos comentarios que tens neste post!)
se eu tenho de passar o exame da 4.ªa classe, tu tens de deixar de o jardim de infância pois este teu comentário revela a tua imaturidade.
Já agora a mnh máquina tá afinada. Para mim o opera é mt melhor que IE8 e td as pessoas sabem que o IE é uma treta e que não é por acaso que a Microsoft já pensa noutro browser.
Para quem paga pau para o Internet Explorer !!!
Microsoft alerta para falha de segurança grave no IE, que afeta usuários de Windows XP e Server 2003
A Microsoft alertou hoje para uma falha de segurança, até então desconhecida, que permite que crackers assumam controle total do computador que tenha acessado algum site infectado. Usuários de Windows XP e Windows Server 2003 precisam ficar atentos com relação aos websites que frequentam.
Segundo aviso oficial de segurança, a vulnerabilidade está no Microsoft Video ActiveX Control. Usuários de Internet Explorer não precisariam fazer nada além de acessar um site hackeado para que o cracker tenha controle total do computador, porém limitado aos privilégios que o usuário possui.
Essa falha não é de hoje e já esta corrigida.
É caso para dizer: – Existe algum browser seguro?
De momento, tenho instalado (além do IE) o Opera, o Firefox e o Chrome. Normalmente, costumo usar o Firefox, mas depois das ultimas acerca dos problemas com a segurança, vou fazer uma pausa até estar tudo resolvido. Quando abri à pouco o Chrome, o Netsecure avisou-me que o Chrome pretendia fazer ligação de servidor, recusei o acesso, pois achei muito estranho. Os outros browsers não costumam fazer isto.
Gostava que o Chrome tivesse os serviços do Google todos integrados pois faço bastante uso deles, mas pelo que observo, é apenas mais um browser. A alternativa fica para o Opera.
Também gosto do IE, mas no meu computador é mais lento, no do trabalho, corre rápido. Com o IE tenho compatibilidade com tudo.
Quanto à segurança, talvez os sistemas baseados em “Cloud” venham melhorar esta área.
O que é estar seguro?
Aliás segurança é um conceito cada vez mais vago, numa sociedade fortemente dependente das novas tecnologias.
Mas concordo contigo, haverá algum browser seguro?
Será proporcional o numero de utilizadores com o aparecimento de bugs em catadupa?
Haverá mais gente à procura de bugs no Firefox, por este ser mais utilizado e haveria menos gente nas versões anteriores?
Seriam essas versões mais seguras que a concorrência nessa altura?
Bom, ficam algumas dúvidas que o tempo se encarregará de responder. Uma coisa é certa, no último ano o Firefox tem sigo fortemente castigado com estas falhas de segurança. Haverá menos gente na equipa de programadores ou está a faltar dinheiro?
A notícia está incorrecta – não é um buffer overflow. Trata-se de uma falha depois de uma alocação de memória que faz o browser crashar.
Na realidade esta falha não é ‘exploitable’
E nota-se que foi feita ou tradução automática e depois “adaptação” ou uma tradução à letra muito deficiente…
Que raio quer dizer: “vulnerabilidade poder explorar uma pilha de funções overflow do buffer permitindo acções remotas através do browser”?
Esta tradução está lamentável, porque está mal traduzida… Já só queria de volta a qualidade que o pplware já teve…
Muito sinceramente acho que deviam publicar menos notícias, mas dedicarem mais tempo a cada uma para ver se apresentam mais qualidade…
Tens de ler bem Pedro. Por vezes é uma questão de adaptação, pensei que ias esclarecer mas também nada disseste, não sabes, mas mesmo assim como português que lê a Maria, tiveste de criticar e dar a tua perninha de má língua.
O português usado na tradução é que está incorrecto!
A frase que está a bold no meu último comentário não faz qualquer tipo de sentido.
Uma tradução correcta seria:
“existe uma vulnerabilidade que através de uma função (que nem é uma “verdadeira função”, é um método de um objecto) permite explorar um buffer overflow numa pilha”.
Contente agora? Era assim tão dificil traduzir a noticia em condições?
Eu queixei-me foi do português utilizado, que não reflecte correctamente a noticia original!
Aaaa agora pareceu-me bem melhor, vês como não custa nada criticar com argumentos válidos?
Não seria muito mais interessante fazeres isso logo no primeiro comentário em vez de atirar pedras?
Raios parta a falta de respeito.
Em relação à tua tradução… bom a minha em cima parece-me bem mais completa:
vulnerabilidade é devido a um buffer-overflow na pilha de memória, despoletada por enviar uma string demasiado longa de dados unicode para o método document.write. Esse document.write é uma função básica de javascript, para output => escrita de texto.
Não é mesmo um buffer overflow
http://xforce.iss.net/xforce/xfdb/51729
Mozilla Firefox is vulnerable to a stack-based buffer overflow. By sending an overly long string of unicode data to the document.write method, a remote attacker could overflow a buffer and execute arbitrary code on the system or cause the application to crash.
Platforms Affected:
* Mozilla, Firefox 3.5
Remedy:
No remedy available as of July 18, 2009.
Ao contrario do que disse o Pedro (ou melhor ele não disse nada) a falha está devidamente reportada no nosso post.
O POC que é disponibilizado para demonstrar a falha, faz o browser crashar depois de uma alocação de memória falhada.
Aliás, o mesmo POC tem o mesmo efeito noutros browsers incluindo o Opera.
Não coloco em causa o pplware, longe disso. A fonte original é que é pouco precisa neste caso.
Acho que para a próxima tens que ser um pouco mais explicito, colocaste a noticia em causa, e deixaste no ar que poderia ser falha do pplware.
Quando se faz uma acusação tens que estar disposto a defendâ-la e não lançar assim para o ar suspeitas injustificadas 😉
E quanto à falha não ser “exploitable” é o suficiente para alguem te lançar um codigo arbitrario para te crashar o browser e recolher os possiveis dividendos a partir daí 😉
De qualquer forma a ideia que foi transmitida no ultimo paragrafo está correcta, quanto mais usado for o browser mais vulnerabilidades se vão encontrar e mais gente as vai querer explorar.
É o que acontece com o IE e Windows e que poderá acontecer com qualquer software (ex: linux).
mais crash menos crash.. ou muitos que aqui falam visitam paginas que eu nunca visito ou entao nao percebo.. raramente acontece 1 crash por aqui.. e quando acontece é sempre siga, qualquer web browser tem recuperacao de separadores que estavam abertos…
Muitas vezes nem se dá por ela que a nossa máquina faz parte de uma rede criminosa.
Não sei se sabias mas os ataques DoS, usam máquinas de cidadãos comuns num propósito criminosos, quebrar serviços online.
Os malfadados botnets não são mais do que máquinas de povo comum indiferenciado, máquinas contaminadas escravizadas por hackers que produzem spam a partir dessas máquinas e os legítimos donos nem fazem ideia do que a sua máquina está a fazer online.
Boas,
Isso da questao de qual é o melhor browser, é tipo questao do melhor antivirus, firewall, leitor multimedia etc etc etc. Isso resume-se a uma questão de se adaptar melhor ao software, se utilizo FF é porque acho a minha experiencia web é mais agradavel e simples do que em outro browser e compreendo utilizadores doutros browsers que utilizam-nos pelos mesmos motivos.
Quanto à questao da vulnerabilidade do FF (ahahah) faz-me lembrar aquela velha e batida afirmação “Windows mais inseguro que mac(OSX)” quanto mais pessoas utilizarem um serviço mais analisado será este, e consequentemente mais cabecinhas pensadoras tentarão encontrar erro para corrigir ou explorar para fins duvidosos.
Só posso dizer… ainda bem que é no Firefox.
Se fosse no IE já estavam ai uns 500 posts a dizer que Microsoft é lixo…
No entanto não estou a ver como é que uma função de escrita pode afectar algum PC… se conseguirem saber através de JScript os nomes dos files que temos no PC, ok, estou a ver possibilidades de re-escrever e danificá-los, no entanto jusgo que não é possivel obter tal tipo de informação através de JScript.
Ainda assim, detectar bugs é sempre um passo na evolução 🙂
hehehe, isso era certinho! 😛
@gravity00, atenção que JScript != Javascript…
JScript é uma linguagem da microsoft, utilizada para scripting no windows e no IE, enquanto que Javascript é uma linguagem amplamente utilizada em praticamente todos os browsers actuais e em ínumeras aplicações de desktop.
Ah, peço desculpa, interpretei mal o problema, stack overflow… okok, bugs á lá c 🙂
Leituras escritas em posições de memória que não devem…
Rectifico ali o que disse, falha grave sim!
toda evolução possui erros.
Confirmo a não existência do bug reportado mas sim o de um erro de locação de memória não existente mesmo em condições de stress da mesma usando o McAfee Total Protection ou o KIS. Já com a suite Norton ou Panda se verifica, assim como muito esporadicamente usando o Avast. Também não se verifica se o JQS (Java Quick Starter) não estiver activo. Mas em qualquer das circunstâncias é necessário forçar o FF. Com o IE por muito menos passa-se dos carretos, portanto…
Não me peçam análises detalhadas. Só constato o que afirmo.
Não critico o PPLware… pelo contrário, bem dito sejas que existes!
Kt tempo levou a Microsoft a corrigir a falha do activex? 18 meses.
Kt tempo levou a Mozilla a corrigir a falha relacionada cm o JIT? menos de 1a semana.
Isto kererá dizer alguma coisa.
Saí do Internet Explorer para ir para o Firefox. Nada arrependido! Mas por este andar vou te que migrar para outro browser, sendo ele o Chrome.
Experimenta opera. TB é mt bom.
Se verificares o último changelog do Chrome verás que também corrigiram falhas de segurança graves.
Aconselho-te portanto a pensar noutro candidato…
fizeste bem sair do IE porque ele é tao seguro como uma rede de pesca, entre outras coisas.
Agora se deixas um browser por uma falha que eventualmente poderá ser reparada nos proximos dias (sim porque a falha de segurança grave falada em cima ja foi corrigida, sobra apenas um bug que crasha o browser), nem sei o que te dizer, porque nem se trata de gostos…
De qualquer forma desde que não seja IE, ficas bem servido.
Todos os browsers tem vindo a reparar falhas de segurança, umas graves outras menos, mas não é so o Firefox ou o Chrome que faz isso, o Opera fa-lo, o Safari tambem, so que apenas vem a publico as do IE e as do FF (tambem sao os browsers mais utilizados, percebe-se bem porquê). Basta irem aos changelogs dos browsers para verem do que falo (ate o Opera, que ninguem fala de falhas dele, tem falhas de segurança anotadas como reparadas, a diferença é que a empresa nao as “espalha” publicamente.)
Se querem um browser sem bugs e sem problemas, opah… usem telnet e leiam o HTML! 😉
Browser perfeito não existe! Cada um tem as suas caracteristicas e problemas, todos diferentes.
lol
E o que dizem o safari para windows?
bem lembrado…não sei como anda agora mas este browser da Apple é muito, mas muito legal, rápido e se corrigido alguns bugs será grande concorrente aos atuais…
Testes mais recentes mostram que, embora este bug possa crachar o browser, não consegue ser usado para um ataque à máquina do utilizador.
É portanto um bug e não uma falha de segurança.
Fonte…
Olá, a palavra “despoletada” está mal aplicada…
saber + : http://www.priberam.pt/dlpo/firefox.aspx?pal=despoletada
Às vezes nos apegamos a detalhes ínfimos que não levam a absolutamente nada e tornam as discussões meio que fuleiras. O principal da noticia foi sobre o erro ou falha de segurança no Mozilla. Os detalhes técnicos não alteram e nem somam muito ao fato. O que importa é que será sanado e foi detectado.A pessoa que coloca um post com certeza quer agradar e informar o máximo possivel a seus participantes, portanto não vejo segundas intenções em uma ou outra falha de tradução. Termos técnicos são muito dificeis de se traduzir. Falo por propria experiência. Valeu galera e vamos esfriar mais a cuca ! 😛
Quem não gosta não lê.
😀
Há muitos e muitos meses que leio diariamente o pplware. Leio como fonte de informação para alguém que trabalha em TI e aconselho a todos os que conheço na mesma situação e que acho que podem beneficiar com o trabalho dos que aqui contribuem.
Nas respostas a esta noticia apercebi-me de uma coisa que considero perigosa. Não vou falar nela numa de bota abaixo, mas com a esperança de que se eu estiver correcto, quem de direito reflicta sobre o assunto. Não vou ser hipócrita. Não me preocupa o staff, preocupa-me a falta que o pplware me iria fazer.
Os pplware fan boys, enfim, é apenas uma questão de não ler e passar em frente, mas o que me preocupou é ver nalgumas respostas uma preocupação maior com a reputação do pplware do que com a exactidão das noticias reportadas.
Independentemente de esta estar correcta, correctamente traduzida ou não, os comentários em resposta a quem a colocou em dúvida não deviam ter o carácter quase religioso de indignação e intimidação. Sob pena de quem de facto contribui e pensa/analisa/critica se calar e restarem apenas os comentários de quem arregala os olhos e esfrega a barriga enquanto lê o blog.
Basicamente, são as criticas que nos mantém atentos e no fio da navalha e no topo das nossas capacidades. É isso que espero do pplware. Não chicoteiem quem vos põe em causa.
Sei o que queres dizer e por vezes não é fácil segurar a paciência. Há no entanto certas formas de critica que não interessam, são tipos de ataques medíocres que combato ferozmente. Se é um apontar de erros, ou falhas, tudo devidamente suportado, eu agradeço e sempre o levei em conta, mas quando é simplesmente o denegrir, o maldizer o prejudicar desmotivando com comentários hipócritas e acusações falsas, principalmente ao trabalho diário continuo que fazemos, não consigo suportar.
O Pplware não é um sites mecanizado como os muitos sites noticiosos que abundam pela net, tem por trás alguém que responde, que lê que atende, tem alguém por trás que dá a cara e que não faz este trabalho de forma mercenária, logo e porque quero um contacto directo e verdadeiro com quem nos lê, tenho e devo separar o trigo do joio. Se reparares nessa minha resposta (que com distancia aceito ser um pouco desfasada) teve feedback positivo por quem antes teve uma atitude também ela desfasada.
Não podemos nem admitimos ser saco de pancada por parte do anonimato de um nick (mesmo que haja informação dos ips e das localidades de onde nos chegam os comentários) queremos no limite, comentários como o teu, onde o nosso direito à resposta está à partida respeitado.
Logo, só tenho a agradecer a frontalidade e a forma cordial com que fomos chamados à atenção. É por falta de muita informação sobre civilidade que os jovens e muitos menos jovens, partem para o desrespeito. Se banalizarmos os seus comportamentos, estamos a ser comparsas e dar exemplos que não os queremos para os nossos filhos.
Sou programador, e percebo perfeitamente o quanto é dificil produzir um software bug free, ou pelo menos com o minimo de bugs. Percebo a importância da segurança, e quanto se deveria investir nela, para tornar a web mais segura em termos de dados, mas muito sinceramente, acho que a principal falha de segurança que existe é mesmo entre o teclado e a cadeira. Sempre usei o IE e passei para o Chrome desde o lançamento deste. De vez em quando uso o Firefox, principalmente para desenvolver, mas não gosto muito do tempo que demora a arrancar (não estou a dizer que é mau, é apenas uma preferencia minha). Estes anos todos que trabalho em web, em que devo ter usado os browsers mais inseguros que havia (que ao ler os comentarios por aqui, chama-se ie), beta’s, alfa’s, alguns que nunca ouvi falar, e acho que nunca apanhei nada através deles (ou talvez uma vez).
Isto pq não ando a espreitar sites e aceitar tudo o que de lá vem. É a mesma coisa que termos um truecrypt ou similar para cifrar informações importantes e a passaword ser 123. É a minha opinião que devemos estar atentos às vunerabilidades, e devemos sempre optar por algo mais seguro, mas de nada serve ter o Firefox v2015.37 hiper-mega-super-segurado-contra-tudo-e-todos se depois fazemos um download de um exe vindo de um email “Viagra de borla!”
Será que o pessoal daqui apenas vê sites que levam a tanta falta de segurança que tenham mesmo que optar por um mega super seguro?
épah não se sou eu que sou um grande sortudo ou então percebo mesmo bué disto…mas de tudo o que falam ai..a mim nunca me aconteceu tal coisa….
fixe para mim neh? xD
Já fiz o teste e não consegui reproduzir o erro… claro que uso alguns truques para manter a máquina mais segura, pode ser por isso, ou porque a demonstração de facto está mal elaborada.
O Mozilla demora muito tempo a iniciar?
Ferramentas > Extras
Em “Extensões” removam ou desactivem qualquer coisa que vejam que está lá e que não precisem.
Em “Plugins” verifiquem a lista, tentem ver o que não precisam e desactivar no programa original a função que se intromete com o Firefox, se não houver forma então desactivem só no próprio menu dos “plugins” mas lembrem-se de reactivar antes de fazer alterações ao programa tipo remover ou actualizar e depois voltar a desactivar… isto previne alguns problemas.
Actualizem o programa e as extensões… muitos problemas (mesmo bloqueios do programa) estão relacionados com extensões… uma que me aconteceu foi relacionada com o Adblock Plus… desde que foi actualizado deixou de dar problemas (até ver).
As redes de Bots o que significam? O que muitos imaginam… falta de conhecimento por parte dos utilizadores. Muitos pseudo-especialistas dizem a todos que eles não usam sistemas anti-malware nos seus próprios sistemas informáticos… claro que alguns ainda dão a desculpa que usam o Unix ou a Apple… estes realmente são mais ignorantes porque se esquecem que o malware ataca toda e qualquer plataforma operativa, mesmo um utilizador avançado como eles pode ser facilmente ser enganado… a menos que andem a fazer análise ao código fonte de tudo o que recebem, já para não dizer que se visitarem algum dos seus sites preferidos de confiança e ele tiver acabado de ser atacados para se aproveitar de alguma falha de segurança do seu tipo de sistema operativo, ou browser ou outra coisa qualquer pode muito bem ser infectado como zézinho que aceita tudo sem querer saber o que possa ser. Claro que tem uma desculpa o sistema anti-malware pode ser em si um problema porque se tiver um problema de segurança pode ele mesmo constituir um problema de segurança, e muitos pseudo-especialistas sabem disso… por isso é melhor não usar nada e cair na esperança que esse pequeno nível mais elevado de segurança compense os biliões de outras coisa que podem lá entrar e que podiam ser travados pelos programas anti-malware.
Para quem teme espionagem realmente instalar um programa anti-malware é de facto um problema extra porque aparentemente todos os programas anti-malware tem embutido sistemas de acesso remoto para que os técnicos das empresas possam aceder (quem diz os técnicos, diz a polícia, os militares, outras empresas concorrentes, outros países, etc.) pelo que realmente é um problema de segurança muito sério… e sim, podem perguntar à empresa que fornece o vosso produto que quase garantidamente não recebem resposta ou eles irão mentir-vos e dizer que não tem nenhum sistema desses implementado. A única excepção é a Avira que parece declarar que os seus sistemas estão livres de qualquer programa de escuta… mas uma leitura atenta permite descortinar que talvez seja mentira porque falam lá na excepção no caso de mandato judicial ou seja algo deve estar incluindo como brinde no programa… daqueles brindes indesejáveis. Mas atenção todos os sistemas operativos parecem incluir desde os seus primórdios erros de programação e funcionalidades diversas com o objectivo de facilitar e permitir o acesso remoto aos mesmos, à algum tempo muita gente teve a experiência engraçada de aceder a listas de espiões de um determinado país ocidental e imaginem o que aconteceu uns dias mais tarde a esses sistemas informáticos? Deixaram de funcionar misteriosamente… só com uma reinstalação voltavam a funcionar… e quem não imprimiu imediatamente as listas… cadê as listas? À pois é… quando a situação é grave os serviços secretos, militares e outros tem acesso a formas avançadas de dar entrar em tudo o que possa estar de alguma forma ligado à rede (e o que não estiver ligado? Vão pessoalmente à procura da máquina e fazem tudo o que estiver ao seu alcance para garantir que a máquina deixa de funcionar e em alguns casos que a pessoa também…)
http://blog.mozilla.com/security/2009/07/19/milw0rm-9158-stack-overflow-crash-not-exploitable-cve-2009-2479/
Esta vulnerabilidade não é “exploitable”, a única coisa que esta descoberta faz é crashar o browser no momento em que se tenta executar o código malicioso, o que faz com ele não seja executado.
É fantástico como essa premissa jamais perde a validade: “A linha que separa convicção de arrogância é tão tênue que apenas sábios sabem distingui-la”.
É devido a noticias como estas que eu adoro cada vez mais o firefox e open source em geral. As grandes falhas são detectadas, informadas e corrigidas mais depressa, até já se sabe qual é a parte do source que produz este erro, muito diferente das praticas do software proprietário com código fonte longe dos olhos de quem o utiliza, as falhas detectadas nem sempre são anunciadas e muitas vezes só são anunciadas oficialmente ao publico depois de descobrirem como remendar a ferida, o que por vezes leva muito, muito tempo, às vezes anos.
Quando ele falou que quanto mais recursos mais erros, tudo bem faz um certo sentindo que a cada linha de código a mais pode representar um bug no programa, mas comparar com o Internet Explorer eu juro que não entendi. A nova versão trouxe muitos novos recursos interessantes e é óbvio que terá alguns problemas, nenhum código é 100%. Existe uma estimativa que um código excelente é 99% sem bugs. Parem para pensar nisso. Se quiser algo com pouco recurso.
Podemos fazer uma comparação com os celulares de hoje. Antigamente os celulares funcionavam muito bem.. claro eles só falavam e hoje em dia fazem de tudo um pouco, tem mais coisas para dar erro. A mesma idéia funciona para qualquer software. Se quer recursos pague o preço, senão use coisas arcaícas.