Mozilla distribuyó durante meses un complemento para Firefox que incluía código malicioso
Enviado por admin el 8. Mayo 2008 - 9:55.
Las posibilidades de resultar afectado son prácticamente nulas en nuestro medio, puesto que el paquete infectado es el que proporciona el soporte de lenguaje vietnamita a Firefox 2. Sin embargo resulta muy preocupante comprobar cómo semejante engendro ha logrado habitar en los servidores oficiales de Mozilla durante meses, afectando a los miles de personas que han descargado el pack. Así las cosas, nada impide pensar que mañana pueda saltar una alarma similar en relación a cualquier otro código presuntamente fiable.
Según se dice, el problema pudo originarse en una infección en la red local de algún desarrollador que trabajaba en el paquete. El gusano Xorer.O afecta sólo a sistemas Windows.
Según Window Snyder, jefa de seguridad de Mozilla, el paquete fue escaneado al ser incorporado a los servidores, pero la detección de Xorer no estaba aún disponible en los antivirus por aquellas fechas...
Referencias:
- Mozilla: Firefox Plugin Shipped With Malicious Code [PC World].
- Compromised file in Vietnamese Language Pack for Firefox 2 [Mozilla Security Blog].
- Virus found in Vietnamese language pack [Bugzilla@Mozilla – Bug 432406].
Mucho código abierto y tal...
pero siempre, en alguna parte, aparece un Windows infectado interviniendo en la cagada.
Pues eso de cocinar habas.
Por muy open que sea un proyecto y por mucho que se disponga de los fuentes, si el que genera la imagen ejecutable tiene algún tipo de infección es factible que la transmita a dicha imagen. Dado que muy difícilmente la gente recompilará esos fuentes, lo más instalado será la imagen con código malicioso y ya tenemos un precioso vector de infección.
Evidentemente el problema no es ese, ya que siempre es posible que nuestro software de análisis aún no incluya el virus/troyano/espía. El problema es que no se analizara completamente el servidor que lo ofrecía con antivirus actualizados tras cada nueva actualización. Cuando se pretende ser el suministrador de una plataforma de software de ámbito mundial hay que ser un poco más cuidadoso con este tipo de cosas. Ya les vale.
IE
Menos mal que uso Internet explorer, me la paso escribiendo vietnamita... uffff de la que me salve!
Bueno, si no es por un fallo
Bueno, si no es por un fallo de seguridad es por 800 que tiene el IE, tranquilo ;)
Vease aquí
NADA es seguro, ahora si existen cosas menos expuestas a los fallos.
Modelo de desarrollo
Opino que el modelo de desarrollo que está usando Mozilla (estilo catedral) es causa de tantos problemas de seguridad: no hay suficientes ojos mirando el código.
Y yo opino que lo de los muchos ojos
Y yo opino que lo de los muchos ojos mirando el código es una gilipollez como un templo, que se ha convertido en un mito de tantos.
JaJaJa
Pues eso, JUAJUAJUAJUAJUA!!!
El código abierto és seguro!!! XDXDXDXD
Un pequeño error de concepto
Tienes un pequeño error de concepto: no es que el código abierto "es seguro" sino que el código abierto es mucho más seguro que el código cerrado.
No es que sea mas seguro...
No es que sea mas seguro... es menos inseguro
Olé!
¡Eso sí que es rizar el rizo!
revision codigo
Pues, el elemento diferencial entre codigo cerrado y abierto es que el segundo se puede, entre otras cosas, revisar libremente. Aqui me pregunto porque el problema no se detectó con revision de codigo en Mozilla y tuvieron que esperar a que un antivirus lo detectara. Alguien con competencias tecnicas me explica? Es que comparto la preocupacion sobre que otra vez podria afectar a nuestros sistemas.
Gracias, alex
Te lo explico yo
Porque eso de que el software libre es más seguro porque lo puedes ver es una bonita teoría pero no es real en la práctica, al final quienes miran el código son los desarrolladores y quizás 4 gatos más, la gente no tiene tiempo para andar auditando cada proyecto de software libre que existe.
Puedo estar de acuerdo en que el soft. libre dá más confianza, y mejor lo entrecomillamos, porque a ver quien me jura a mí que ese desarrollador no incluyó ese código de forma intencionada, ¿tengo que creer en su palabra porque sea de Mozilla?
Hay quien está cegado por sus ideas y no lo va a ver aunque se lo pongas delante de las narices, pero a ver si nos queda claro que ni libre ni abierto son sinónimos de seguridad, la seguridad se consigue de otra manera, pero supongo que vende más decir que el soft. libre es más seguro, aunque luego sigas unos métodos de desarrollo que son pésimos en cuanto a seguridad.
Perdón...
pero alex dijo "alguien con competencias técnicas".
Perdona ...
... pero creo que nadie de Mozilla va a venir aquí a explicarle nada a Alex :) Yo no tengo competencias en Mozilla, pero tengo derecho a responder a quien quiera, además no soy un fanboy del software libre (aunque lo use) por lo que tengo objetividad, y al menos sé de lo que hablo, porque hoy día cualquier discípulo de Stallman que usa Linux desde que Ubuntu vió la luz ya habla sobre software libre y su seguridad como si supiera lo que está diciendo.
Perdona tú...
Pero hablar desde la ignorancia suele producir pésimos análisis.
Dado que sólo hay dos opciones (código abierto y código oculto), no se entiende qué quieres decir. De esas dos opciones, yo tengo claro que la más segura, con mucho, es la primera, porque este mismo caso producido en un escenario de código cerrado me dirás cómo nos deja...
Yo entiendo que aquí hay un caso claro de negligencia, para mí atribuíble a la forma actual de hacer las cosas, burocrática, pesada y de balones fuera. Cada palo aguanta su vela, y luego pasa lo que pasa. Pero esto no tiene nada que ver con ninguna filosofía, en el sentido más estricto de la expresión "no tiene nada que ver". Claro, criticar es fácil, no voy a negarlo, pero no entiendo por qué estas cosas no pasan en otras fundaciones y sí pasan en Mozilla. Es posible que su ajo-pringue con el tema pasta (léase Google) tenga mucho que ver...
¿Ein?
El código abierto no es más seguro, será más "confiable" pero no más seguro. Es decir, según tú, si yo publico un código bajo licencia GPL y ese código es suceptible a ataques de inyección SQL o buffer overflow, es más seguro que si saco otra versión binaria (no libero el código) con esos errores corregidos, porque el software libre lo vale vamos, así por arte de magia nadie va a explotar esas vulnerabilidades. Y luego me dices a mí que hablo desde la ignorancia... pues vaya... ¿Tienen algo que ver los buffer overflows o la inyección SQL con el software libre? Pregunto vamos, porque igual resulta que sí.
Bueno, rizando el rizo eso de código oculto es subjetivo, puedes desensamblar el binario y ver el código ASM, es código a fin de cuentas ;P También puedo programar en Haskell y publicar el código C generado por GHC, ¿eso es código oculto? Fuera coñas.
"Pero esto no tiene nada que ver con ninguna filosofía, en el sentido más estricto de la expresión "no tiene nada que ver"." Ahí tienes razón, la filosofía no tiene nada que ver con la seguridad, a ver si se os mete en la cabeza.
Claro, Google es mala malísima...
¿Me tengo que creer que no fue el desarrollador quien deliberadamente insertó ese código malicioso? ¿En base a qué tengo que confiar en su palabra? Si esto mismo se descubriese en IE7 ya habría conspiranoicos diciendo que fue Microsoft quien insertó el código intencionadamente, que puede ser, igual que puede ser en el caso de Mozilla.
El tema no es el juego del escondite
El tema no es que seas un machote capaz de hacer ingeniería inversa y descubrir un gran secreto, el tema del código oculto es que como alguien más se entere y tenga todos los derechos sobre ese código, te envía a sus abogados por espionaje, terrorismo, seguridad nacional, ser hacker, ser del atleti o cualquier otro motivo que se les ocurra. Haya vulnerabilidades o no.
A ver
Será más "fiable", a mí eso de "confiable" siempre me ha rechinado en los oídos por mucho que venga en diccionarios oficiales y mucho uso que tenga en Latinoamérica, donde salvo excepciones de esta índole se suele usar mejor el castellano que en España (por castellanoparlantes nativos, entiéndase).
Perdona, en mi opinión no has leído lo que he escrito. Tengo que entender de tus palabras que para ti es igual de seguro un código abierto que uno cerrado, aunque el código abierto pueda ser auditado libremente sin cortapisas (incluyendo las legales, que no son ninguna broma y por las que puedes acabar en la cárcel), y el cerrado tenga que ser obtenido por procedimientos indirectos y por tanto susceptibles de error.
Pues mira, no. Cuando alguien niega la base de un razonamiento, es evidente que no ha lugar a seguir, pero debo decirte que de mi forma de ver las cosas están la inmensa mayoría de las administraciones públicas, fuerzas armadas incluidas, y grandes corporaciones económicas, que en sus informes para recomendar el cambio a códigos abiertos hacen precisamente hincapié en su mayor seguridad. Como comprenderás, creo que me puedo fiar más de organismos de ese calibre que de tu argumento más emocional que otra cosa. Por sólo citar ese ejemplo.
No, Google no es mala malísima. Sigue la lógica del dinero, que tampoco es una lógica mala malísima. Es la lógica del dinero y punto, que te condenaría a muerte a ti o a mí en numerosos escenarios. No soy maniqueo, francamente, me parece una estupidez eso del bien y el mal. Tampoco un tiburón es malo malísimo, simplemente hace lo que tiene que hacer. Ponte al alcance de sus piños, si tal.
Puedes creer lo que quieras, pero si me disculpas una vez más, tus líneas de razonamiento no van hacia ningún sitio útil (ni razonable). Creo yo, vamos.
A ver si me explico de una vez
No me preocupa mucho el uso correcto del castellano, aparte de que no es el idioma en el que suelo hablar, me resbala los usos que recomiende la RAE o quien sea, y más cuando hablo sobre informática. Tú habla como quieras, yo hablaré como quiera, si no quieres entenderme no me entiendas.
Perdona tú, sí que he leido tu comentario, un código es más seguro si está más auditado/probado/verificado/etc, NO si puede ser auditado/probado/verificado por cualquiera, ¿qué más dá que un software pueda ser auditado si no se audita? El software cerrado puede pasar auditorias, yo contrato a una empresa especialista en esa labor y punto, a fin de cuentas la mayoría de las veces que el soft. libre se audita lo hacen esas mismas empresas sólo que lo paga algún organismo interesado en ello. Cuando la NSA quiso auditar código de Linux y GCC (entre otros) puso millones encima de la mesa y una o varias empresas lo auditaron, se descubrieron cientos de errores por cierto.
Me vienes a contar a mí que mi razonamiento es incorrecto, cuando el tuyo directamente es absurdo. Para tí la seguridad se basa en "la posibilidad de", si es posible auditar, luego ya es seguro, aunque no audites, ¿estás de coña conmigo? Lo siento, pero me da igual que sea posible auditar si no auditas, si yo tengo mi sistema operativo X, y me gasto una pasta en construirlo, verificarlo y auditarlo, ese sistema va a ser más seguro que otro Y que no ha sido auditado (o lo ha sido mucho menos), por mucho que Y sea libre. Que tú confies más en Y porque puedes ver el código pues me parece bien, pero son cosas que tienen poco que ver.
Te diré que en muchos "organismos de ese calibre" se hacen cantidad de guarradas de un calibre inmenso, y no son precisamente el modelo a seguir para nada. De hecho estoy harto de que en clase se nos pongan ejemplos de cómo hacen las cosas las administraciones públicas para saber cómo no hacerlas, muchas veces son experiencias personales y puedes alucinar de lo que se cuece por ahí.
Y aunque no tengo mucha idea de cosas legales entiendo que si tengo un cliente que desea tener el código fuente de una aplicación se lo puedo ceder sin tener que liberarlo firmando algún tipo de contrato, de forma que legalmente no pueda publicarlo o redistribuirlo, pero sí puedo darle sólo a ese cliente, la posibilidad de auditarlo o retocarlo etc. Si quieren lo compilan ellos mismos si es que no se fian de que mi versión compilada coincida con el código que les doy.
Si no te gusta mi razonamiento pues lo siento, no puedo estar de acuerdo con alguien que cree que una licencia hace más seguro a un código, me parece absurdo hasta decir basta. Ahora mismo estoy cursando una asignatura sobre seguridad (no sólo software, sino también hardware), y todavía no escuché eso de que el software libre sea más seguro (no me da clase un talibán de la FSF), y curiosamente cuando nos cuentan experiencias personales Solaris suele estar siempre por el medio.
Para nada estoy de coña contigo
Pero viendo la violencia verbal que despliegas, no sé si al revés si será cierto... La frustración también es pésima consejera.
No es que no me guste tu razonamiento, o que me guste, es que eso da igual. Es lo que te decía del tiburón. La Tierra no va dejar de ser esferoide porque a ti o a mí nos guste o nos disguste. No tiene absolutamente ningún sentido lo que dices, y no entiendo por qué lo dices. Pero si tú eres más feliz así, alabado sea Dios.
Sólo te diré que si no tienes mucha idea de cosas legales, más vale que vayas aprendiendo, porque es sobre la ley y la jurisdicción (que por cierto, hace valerse a través de coacción y violencia, cómo no) que los códigos cerrados tienen sentido, porque de no estar amparados por la jurisprudencia esta conversación no estaría teniendo lugar.
En fin, déjalo
¿Violencia verbal? Mi madriña como andamos... ¿frustración? Hombre, el talibanismo FSF me tiene un poco harto, pero no frustrado.
"La Tierra no va dejar de ser esferoide porque a ti o a mí nos guste o nos disguste." Tienes razón, y el software libre es libre, y es cojonudo, pero no es más seguro, y eso no va a cambiar porque Stallman lo diga, bueno, perdona, creo que todavía no escuché a Stallman decir eso, ¡los discípulos ahora son más radicales que el maestro!
Se te va la olla en serio, es mejor dejarlo porque esta conversación no llega a ningún lado, a mi no me vas a convencer y yo no te voy a convencer. Los códigos cerrados tienen sentido porque hay empresas que no pueden vivir del soporte, ni tienen a un ricachón ni a una multinacional financiandoles, todo depende de cómo enfoques el negocio supongo.
Y por si te despistaste NO soy un fanboy del software privativo, uso software libre desde ya hace muchos años. A pasarlo bien.
A ver
Es que no sé quién eres, no pienso en ti, sólo me fijo en tus argumentos (?). A mí me das igual. Me es indiferente lo que uses o lo que dejes de usar. Por otro lado, yo no intento convencer a nadie, ni necesito que nadie lo haga: sé pensar, y supongo que los demás también saben, así que a lo único que me limito es a rebatir argumentos... o no. Desde luego "se te va la olla", como argumento queda de lo más pobre, aparte de revelar un estilo de argumentación muy peculiar (y bastante frecuente), mayormente cuando no se contraargumenta a nada de lo que se expone.
Vaya hombre
A mi tú también me dás igual, sólo es para aclarar que esta no es una conversación entre dos talibanes, uno de la FSF y otro del software privativo, yo NO soy talibán del software privativo, me gusta el software libre, pero no lo convierto en una religión, cuando lo conviertes en una religión acabas por decir cosas como las que dices, que tienes fé en que el software libre es más seguro porque dispones del código fuente y se podría auditar, aunque luego venga la NSA pague unas auditorias hechas por profesionales y salgan bugs a diestro y siniestro que la supuesta comunidad que está constantemente auditando el código no había visto. Los mismos profesionales que le pueden auditar el código a cualquier empresa de software privativo que pague por los servicios.
"se te va la olla" no es un argumento, es un hecho viendo que te vas por las ramas con argumentos filosóficos en cada comentario. Y tú no rebates ningún argumento mío, porque todavía no te he visto contestar a apenas nada de lo que yo sí te he argumentado, hasta me has querido poner a las administraciones públicas como ejemplo de hacer bien las cosas, cuando son todo lo contrario, un ejemplo de como no hacerlas. Lo único que haces en cada comentario es intentar desprestigiar lo que digo, que si diciendo que mis argumentos son pobres, que si no sé de lo que hablo (cosa que, por lo que veo, no es mi caso sino el tuyo), ¿eso es para tí rebatir argumentos?
En tu mundo el software libre es siempre mejor y más seguro, en el mundo real si te metes en un banco y les dices de cambiar su Oracle por PostgresSQL o MySQL lo primero que harán será reirse de tí para seguidamente despedirte. Y la gente que tiene montados sus servidores con Solaris 10 no lo va a cambiar por Linux, porque saben que Solaris es seguro aunque no sea software libre (OpenSolaris no es Solaris 100%), tampoco lo hará la gente que los tiene bajo IBM AIX, etc etc. Es más, muchos de esos OSes son mucho más seguros que Linux, y mira tú, no son software libre.
Dicho esto, si me contestas con argumentos técnicos y no con filosofía Stallmanera te responderé, sino la conversación acaba porque comienza a ser una pérdida de tiempo.
La conversación nunca empezó
Por varias razones, todas de tu parte. Primero, no lees. Segundo, malinterpretas (me temo que deliberadamente) lo poco que lees. Tercero, atribuyes cosas donde no hay tales (lo que redunda en alterar completamente lo que se te dice). Y cuarto, no se te entiende cuando expones, porque saltas de lo civil a lo criminal e intentas hilar cosas inconexas. Desde luego yo te he tratado con cortesía en todo momento, algo que no se puede decir de ti, y no es necesario que te creas lo que te digo, puedes buscar una tercera persona que te dé su opinión dado que el hilo queda aquí para que lo lea quien quiera (y mira, tampoco apelar a tu presunta sabiduría con ejemplos traídos por los pelos, queda muy elegante por tu parte, no ya para probar nada, sino para tu propia imagen). Finalmente, a mí no me han despedido de ninguna parte, pero no tengo la menor duda de qué tipo de comportamientos si mueven a risa.
Si esto hubiera pasado en IE7
Nunca lo habiamos sabido...
Solo la persona que esta explotando dicha vulnerabilidad...
Gartuz
Joer que no nos enteramos
Que no es una vulnerabilidad, ni un troyano oculto, ni código malicioso del programador... que de lo que se trata es de una imagen infectada por culpa de un malware que provenía de un desarrollador con el antivirus desactualizado.
Eso ni tiene que ver con software libre/propietario ni es un ataque a firefox, ni una defensa de IE ni hay que levantar pancartas reivindicativas.
Leches, que todos los hilos acaban hablando de lo mismo una y otra vez. Ya sois (todos los talibanes de uno y otro lado) pesaditos.
poc
vereis... la culpa de que se colara el virus no es de mozilla mismamente, revisando el codigo fuente no sale el codigo fuente del virus dentro del de la extension ¿porque? pues porque no esta, si te descargas el codigo fuente y lo compilas tu mismo tendras la extension sin el virus, la cosa va asi:
yo hago una extension, la compilo YO y se la mando a mozilla, y eso es lo que te puedes descargar, el codigo fuente para que hagas lo que quieras con el (gracias GPL) y la compilacion que hice yo (yo o la que compilo mozilla o quien sea)
pos bien, el virus se colo en la compilacion y no en el codigo fuente, por lo tanto viva el codigo abierto que te deja ver si tiene codigo malicioso (como el de ese virus) y lo que hace el programa
conclusion:
el virus se colo en el ordenador que LO COMPILO e infecto la compilacion y no el codigo fuente, el codigo fuente esta limpio de virus.
P.D. eso de que se infecto la red local de algun desarrollador del paquete no se si es del programador o de algun desarrollador de mozilla que compilan los paquetes directamente del codigo fuente para colgarlo de manera que fuesen los de mozilla los compiladores, aun asi el problema no es del open source sino de la seguridad de los compiladores de mozilla
Comentario tonto, ya lo sé...
pero, ¿la "jefa de seguridad" de Mozilla se llama realmente Window Snyder? ¿"Window"?
Uy, uy, uy... :D
Srta. Ventana
Vaya si se llama así... y lo mejor es que llegó a Mozilla desde Microsoft.
De aquellos polvos...
Espera, que seguro
Espera, que seguro que algunos dirán que como sólo afecta a un único SO, la culpa es precisamente de ese sistema; luego añadirán que quien no use alternativas es un ignorante y merece arder en el infierno. Con tal de no desprestigiar al panda rojo...
Ignorancia
En una cosa has acertado: el que sigue usando windows es por ignorancia. Aunque la ignorancia no necesariamente es reprochable. Mucha gente no sabe y no tiene ni tiempo ni ganas de aprender algo nuevo. Simplemente tuvieron la mala suerte de aprender con un sistema determinado y sin posibilidad de tener acceso a ningun otro por mucho tiempo. Para colmo fue un sistema que pretendía ser "fácil" así que muchos hasta olvidaron cosas que sabían.
Lo que hay que hacer es aprender de los errores y tratar de que las generaciones futuras no sigan atadas a productos inferiores. Si existen muchas herramientas es necesario conocerlas todas y no atarse sólo a una para que después no pasen estas cosas.
Juas
Pues mira, yo uso Linux por regla, pero no tengo más remedio que usar Windows para ciertas cosas porque las alternativas que existen en Linux o son directamente peores o no me apetece tener que andar buscando por aquí y por allá como se hace X en Y. Te pongo un ejemplo, he tenido que hacer un rollete con el Office porque si lo hacía con OO.org me volvía loco, aparte de que cuando exportaba el trabajo el renderizado era una porquería.
Arg, me repatea el afán de superioridad de algunos, aún por encima suelen ser usuarios de Linux, un sistema que no es ni mucho menos la panacea.
¿Donde está la demostración
¿Donde está la demostración rigurosa de esa estupidez?
Quizás el ignorante seas tú, de todas las virtudes que Windows tiene y no tienen los demás. Así os luce el pelo, pensando que la culpa siempre es de otros, que son unos "ignorantes".
No pero casi xDDD
No tienen la culpa, pero casi, la gran mayoría de virus son para dicho sistema operativo, cada vez más gente lo sabe que los más vulnerables son los Windows y a pesar de eso no se plantean buscar otra cosa, ya que sus amigos, su familia y la gran mayoría de los que conoces lo usan, y como lo usan todos (no es porque viene impuesto en una compra nueva, que va, aunque luego el Pringao de turno le instale una versión "optimizada" cuando este falle por "casualidad"), pues es mejor.
Estoy de acuerdo de que son libres de elegirlo, pero muchos no lo hacen, simplemente lo usan y lo seguirán usando porque no quieren sentirse distintos a los demás (borreguísmo) o excusándose en que lo demás es difícil sin ni tan siquiera molestarse a probarlo.
Jej
En mozilla usan windows xD
r0lf
Este tipo de problemas es fácilmente detectable
Dado que es una entelequia el pretender que los antivirus detecten cada nueva pieza de malware a los diez minutos de ser esta liberada, siempre se puede recurrir a sistemas de más pedrestres -pero sencillos y eficaces- para detectar un "posible" problema:
Antes de liberar el paquete, se recompila la fuente en tres o cuatro ordenadores diferentes, aislados entre sí (no sólo física, sino también geográficamente), pero con la misma versión/módulos de sistema de desarrollo, y luego se comparan las imágenes obtenidas: si hay diferencias significativas en una de las imágenes, entonces es que estamos ante un posible "problema".
Pequeño problema
Las extensiones/plugins para Firefox no se compilan. Se trata simplemente de una colección de archivos .js (javascript), .css, .xul (archivo de configuración en formato XML), .rdf (Resource Description Framework, también en formato XML) y .xpi/jar (archivos comprimidos, que pueden contener los siguientes tipos de archivos: .js, .css, .xul y .rdf).
En mi caso particular, que no uso demasiadas extensiones, al instalar una nueva reviso el código javascript por si las moscas. De esto se trata el código abierto justamente: conocéis a alguien que haya intentado lo mismo con el plugin de flash de Adobe o el de java (código cerrado, sin importar para qué plataforma)? No es posible, al menos que alguien intente desensamblar el "blob" (por utilizar un término que aprendí aquí en Kriptópolis): lo cual no es legal en algunos países (recuerdo algún comentario por aquí de alguien que sugería que dichas herramientas deberían ser prohibidas directamente).
En este caso, aunque nadie haya auditado el código, el mismo estaba ahí esperando que alguien descubra el problema. Es como decir que recibes una carta de tu banco avisándote que vas mal con el descubierto, pero no la abres y le dices al juez que como no la abriste no eres reponsable de la demora y deben condonarte el pago de los intereses.
Hombre ...
... todo el mundo debería saber leer, pero no todo el mundo tiene que saber javascript, digo yo, la comparación ha sido bastante mala.
¿Usas Linux? ¿Revisaste todo el código del kernel? ¡Como haya un bug gordo luego no te quejes que estaba ahí para que lo descubrieras!
Ha faltado el detalle
Nadie puede detener un peligro que no conoce, el troyano era desconocido cuando subieron el paquete. Un error grave de acuerdo, pero comprensible cuando participa gente de todo el mundo y no se está haciendo el programa en un entorno cerrado aislado y donde no puede entrar ni una mosca.
Existe otra opción que en vez de tener gente que colabore, andar solo con 4 gatos y que no exista ni Firefox 3 ni versión en Vietnamita...
Yo prefiero jugarmela.
No es por el tema del código abierto, cerrado, etc.. aquí donde se ha fallado es en otra cosa, en pensar que nuestro trabajo anterior está a salvo de problemas y no hace falta revisarlo. Si hubieran pasado un antivirus de vez en cuando, no habría problema.
¿Vietnamita? ¡Dios mio!
¿Vietnamita? ¡Dios mio! ¡Han sido los Charlies, Dios mio¡ ¡Han sido los Charlies! ¡No siento el teclado, Dios mio! ¡Coronel Truman, Coronel Truman... todos están muertos! XDDDDDD
Lo siento, lo siento pero me lo han puesto a huevo.
Cuando se quiere degradar algo, todo se vale...
Parece que algunos aquí no quieren entender una cosa: y es que el problema de la infección NO reside en el código, el archivo fué infectado cuando se generó el binario, o sea, fué infectado porque el computador donde se creó el binario usaba windows y estaba a su vez infectado con el gusano, a los que dicen que si en Mozilla usan windows, pues claro, o ¿como creen que generan y depuran las respectivas versiones para windows?, me maravilla y asombra la falta de objetividad de algunos usuarios por aquí, se supone que Kriptopolis es para personas pensantes...
Yo tengo una pregunta
¿Qué clase de antivirus utilizan en Mozilla?
Si son software libre mal resultado les han dado, pero si son propietarios creo apreciar cierta contradicción.
A un desarrollador tan inútil
A un desarrollador tan inútil como para infectarse con un virus de Windows, no le daba yo ni diez minutos más en su puesto de trabajo.
Vaya peligro
Pues yo trabajé en una grandísima consultora, "super-prestigiosa", y te aseguro que si hubieras llegado a jefe allí habrías tenido que echar al 80% de la plantilla de mi proyecto.
No sé si algún jefe compartía tu opinión, pero daba igual porque ni dios se daba cuenta del ecosistema que teníamos allí.
¿despedir a quien?
Sabemos acaso de que ese desarrollador esté en nómina de Mozilla, hay muchas contribuciones gratuitas de gente que no tiene ninguna relación directa con el programa más que les gusta y un día decidieron dedicar X horas de su tiempo libre a mejorarlo.
En vez de clavarles en la cruz, ¿no sería mejor darles las gracias?
Centraos, coño!! (con perdón)
A ver, vives en Vietnam y usas Windows.
Entras en getfirefox.com
Automáticamente la página detecta tu origen y te presenta una bonita pastilla verde que dice "Descargar Firefox" y te bajas el archivo Firefox_Setup_2.0.0.14.exe con el paquete de idioma vietnamita.
ESE .EXE ESTÁ INFECTADO, pringaste.
Por qué? Alguien compiló el firefox_setup.exe en un ordenador y, o bien es un cabroncete y le metió un troyano, o bien tenía el ordenador infectado y transmitió la infección al binario.
Os ha quedado clarito? Bien. Ahora pasemos a discutir sobre por qué una empresa llamada Mozilla permite que pasen estas cosas. Dejaos de divagar sobre Windows, Linux, SO abiertos, cerrados o entreabiertos como la ventana cuando hace bueno.
Ah, y permitidme con cariño y confianza que os llame GILIPOLLAS por ensuciar un post con flamewares estúpidas e innecesarias y no centraros en el tema, espero que se os esté cayendo la cara de vergüenza.
Besitos :D
P.
En este blog explican
En este blog explican mas o menos lo que paso:
http://blog.mozilla.com/ftr/2008/05/08/vietnamese-language-p...
Según dicen el virus no se distribuía en el add-on de firefox, el virus en la maquina del desarrollador modificó codigo del add-on para mostrar publicidad no deseada pero no era capaz de replicarse ni infectar a otros como lo hace un virus.
O sea que afortunadamente no se puso en riesgo ninguna máquina salvo por lo de tener que aguantar publicidad.
Aunque claro está que si el virus pudo hacer eso también podría haberse distribuido.
Vietnamita ¿no?..
...Me da a mi que esto es una prueba y han elegido un idioma poco (muy poco) utilizado para ver la capacidad de respuesta que tienen los servers de Firefox y los propios desarrolladores y cooperadores.
Opinar