Llegamos a ustedes gracias a:



Noticias

Adobe se disculpa por un error que mantuvo por 16 meses

[08/02/2010] Adobe pidió disculpas el fin de semana por permitir que un error mantenido durante 16 meses en Flash Player languideciera sin un parche, a pesar de que actualizó el popular plug-in en cuatro ocasiones desde que se reportó la falla.

El error se ha corregido, según Adobe, en la beta de Flash Player 10.1, que fue lanzada en noviembre pasado. La versión final de Flash Player 10.1, sin embargo, no será entregada hasta finales de este año.
El investigador de seguridad, Mateo Dempsey, reportó por primera vez la vulnerabilidad de Flash el 22 de septiembre del 2008, según la base de datos pública de seguimiento de errores de Adobe. Cuando es explotado, la falla hace que cualquier navegador equipado con Flash Player 9 o superior se bloquee.
A pesar de que los bloqueos de navegador y de plug-in pueden parecer relativamente inocuos, son valiosos para los atacantes, que suelen idear una manera de inyectar código malicioso después de la caída de una aplicación, señaló Andrew Storms, director de Operaciones de Seguridad de nCircle Network Security.
Dempsey ha creado un sitio que corre código de ataque tipo proof of concept, que demuestra la vulnerabilidad. (Advertencia: el sitio bloqueará los navegadores que disponen de versiones actuales de Flash Player.)
Aunque el error se ha parchado en Adobe Flash Player Beta 10.1, debería haber sido arreglado mucho antes, admitió el sábado un administrador de Adobe. La falta que cometimos estaba marcando este error para la próxima versión de Flash Player 10.1, que es la que pronto será lanzada, en lugar de marcarla para la siguiente versión de punto de seguridad Flash Player 10, señaló Emma Huang, gerente de producto para Flash Player, en una entrada del blog de la empresa.
En los 16 meses transcurridos desde que Dempsey reportó la falla, Adobe parchó Flash Player en cuatro ocasiones diferentes, una vez a finales del 2008, luego de nuevo en febrero, en julio y en diciembre del 2009.
La excusa de Huang fue que Dempsey informó del problema en el período previo a la liberación de Flash Player 10. Recuerden que Flash Player 10 fue enviado en octubre del 2008, así que cuando este error fue reportado estábamos casi listos para su lanzamiento, expresó.
Aun así, fue todo un bodrio. Tengo la intención de hacer seguimiento con el gerente de producto (o representante de Adobe) que trabajó en este tema para asegurarme de que no vuelva a ocurrir, sostuvo Huang. Se nos escapó por las rendijas, y no es algo que nos tomemos a la ligera.
Huang también llamó a los crash bugs, que algunos vendedores consideran vulnerabilidades de segunda, errores graves de prioridad A, y añadió que la política de Adobe es que los desarrolladores de ActionScript nunca deberían ser capaces de bloquear Flash Player. ActionScript es el lenguaje script soportado por Flash.
El Beta 2 de Flash Player 10.1, disponible para Windows, Mac X y Linux, incluye el parche para el crash bug de Dempsey, y también se puede descargar desde el sitio de Adobe Labs.
Un portavoz de Adobe hoy se negó a especificar la fecha de lanzamiento para Flash Player 10.1, acogiéndose a la línea de tiempo de la empresa de poner la versión final a disponibilidad en algún momento del primer semestre de este año.
Gregg Keizer, Computerworld (US)