"...Se ha encontrado un nuevo bug en Mozilla Firefox, incluida la última versión, por la cual puede dejar la máquina colgada al querer abrir un enlace del tipo mailto:// del cual hay un test para su comprobación, donde se intenta abrir 100 mensajes de correo electrónico usando firefox 1.5.0.3, aunque ya advertimos que deja el ordenador inoperativo hasta el posterior reinicio..." Visto en: http://www.genbeta.com/archivos/2006/05/11-mas-problemas-para-firefox-o.php Test: http://securityview.org/test.html [EDITADO: Según los comentarios parece que no se cuelga, ¿errónea?]
#41 No llevas nada de razón, el noscript es un complemento que no viene por defecto en Firefox, hay que instalarlo aparte, hecho que no todo el mundo realiza. El código que causa el fallo no se ejecuta a petición del usuario, en ese ejemplo si te avisa antes, pero que pasa si aparece en otra página sin avisar. Si te cuelga el PC y tienes que reiniciar forzosamente seguro que no te hace tanta gracia.
El hecho de que solo pase en ciertas configuraciones no depende de Firefox sino del cliente de correo electrónico que tengamos por defecto.
Lo que si depende del fiefox es tratar una etiqueta mal formada, cuando debería ignorarlo. Eso si es un bug.
Un imagen cuyo src es mailto:test@securityview.org?subject=test email&body=DoS! es imposible que sea correcta, ¿el origen de una imágen, una dirección de correo?.
Para mi es un bug como un castillo, no depende de las consecuencias que pueda originar.
#38: Conmigo nada gallir, es sólo que no me parece lo de decir que una noticia es errónea sólo porque sí. Me apoyo en la definición de bug.
Pero tu eres el profesor, así que aceptaré tu palabra como válida
http://es.wikipedia.org/wiki/Error_de_software
Un error de software (computer bug en inglés), es el resultado de un fallo de programación introducida en el proceso de creación de programas de ordenador o computadora (software).
¿Entonces es errónea? Que abra cantidad de ventanas (en el mejor de los casos), sin que el usuario haya pedido, ¿no es un bug? ¿No es un bug sólo porque es FF?
Que a algunos de ustedes no le haya sucedido nada, no significa que a otros le haya podido congelar el sistema.
Aparte, existe un boletín de seguridad que da como bug lo que ha sucedido. ¿Es entonces erróneo un meneo que da a conocer ese comunicado?
El que quiera editar, que edite... ya lo han hecho con el texto del meneo, de todas maneras. Da igual.
#14: Que no te duela
Respecto a lo otro, en el informe no aclara: We have confirmed a bug in Firefox 1.5.0.3 with DoS possibilities. When you download the source of the following page you will see what it does. It will open 100 mailforms, so be cautions when you open the link!
Update:
One way to mitigate this: set
“network.protocol-handler.warn-external.mailto’ to ‘true’ (its false by
default). This will show a popup dialog […]
Así que no tenía idea que no funcionaría en GNU/Linux
probado con winXP y Firefox... y hay que cambiar, como dicen en el enlace de seguridad de firefox, el valor de "network.protocol-handler.warn-external.mailto"... (ya se lo corregí a mi hija, me voy que me da no-se-que este ordenata....
Lo he probado con firefox de OSX y me han empezado a salir las ventanas de mail, el Firefox no se ha colgado, pero si que "jode", así que meneo. He tenido que matar al mail.
Qué bonito, ayer mismo he configurado el thunderbird como cliente de correo por defecto para el firefox de mi Mandriva, después de meses de que no me funcionase (ni me hacía falta)... y justo sale este bug. Si lo sé no lo configuro
Pues yo voy a votar erronea. XP+sp2 +FF1.5.0.3 y si, se abren la pera de mensajes del outlook, pero se cierran y listo. No se queda colgado el PC ni el FF, ni el Outlook.
Hablando de todo un poco, para prevenir casos de estos, ¿cómo prevenir el uso al 100% de la CPU por parte de un usuario? Me suena que con ulimit, pero no sé cómo va o si se puede.
Tengo un pentium II400 MHz con 256 MB de RAM. Al abrir la página , el sistema ha quedado bastante inusable. Tras mucho rascar el disco duro, las X han muerto y se han reiniciado, como el ave Fénix.
En Linux el test también provoca el error: si tienes configurado un cliente de correo por defecto para los enlaces mailto: te abre 100 correos. Lo que pasa que la máquina no se queda colgada y basta con matar los procesos de firefox y de thunderbird (en mi caso) para retomar el control de la máquina
Ojo, ahora empezamos a entendernos. El bug no tiene nada que ver con Java, ni con abrir 100 o 1000 ventanas. El bug consiste en interpretar incorrectamente un tag . El script Java sólo es un medio que ha usado el vago del programador para no escribir a mano 100 veces el tag (podría haber escrito la fuente con otro script). Si los 100 estuvieran explícitamente en la página, y esta no contuviera Java, el NoScript no lo pararía.
De hecho, un fichero HTML que contenga, simplemente:
te abrirá un cliente de correo al cargarla con Firefox (si tienes un cliente configurado). Si aparecen 1000 líneas así, se te abrirán 1000 clientes. Y esto a pesar de NoScript.
A mí me parece, lo acepto, un bug, si las especificaciones de estándares HTML dicen que los tags no pueden abrir mailto-s.
mahamara (#37): "Que abra cantidad de ventanas (en el mejor de los casos), sin que el usuario haya pedido, ¿no es un bug? ¿No es un bug sólo porque es FF?"
No entiendo bien el problema, pero según lo que yo entiendo el usuario SÍ lo ha pedido. El usuario ha accedido a una página en la que un script de Java solicita abrir 100 veces el cliente de correo. Si el usuario utiliza NoScript o similares, entonces el JavaScript se bloquea. Por el contrario, si el usuario tiene el sistema configurado para aceptar ciegamente lo que un script cualquiera diga en una página desconocida... se entiende que tácitamente acepta que se le abran 100 ventanas, y por lo tanto no ocurre contra su voluntad.
Sólo puede considerarse lesivo para el usuario si este no tiene medios para evitarlo. Y en este caso sí los tiene.
¿Debe considerarse un bug que mi navegador muestre una página fea, con el fondo amarillo chillón y las letras verde clarito y pequeñísimas? Si la página original es así, este atentado ocular no es culpa del navegador, ¿no?. Para eso están las opciones de "Tamáño mínimo de letra" y de ignorar ciertos estilos de las páginas (que el fondo sea siempre blanco, o que los gráficos no se carguen, etc).
mahamara (#42): desconozco ese bug, y desde luego no lo reporté yo. Si el bug consiste en que al visitar una página con una imágen gigante... abre una imágen gigante... pues efectivamente, no es un bug.
Uso windows xp sp1, y la ultima version del firefox 1.5.0.3, al principio se me quedo medio colgado (30 segundos) al poco tiempo resolvio el correo abrio los 100 enlaces en el thunderbird, cerrer el grupo y siguio funcionando con normalidad. Es mas escribo desde el mismo firefox, quizás se cuelgue por falta de micro o ram.
Windows XP SP2 y Firefox 1.5.0.3: no se me colgó
Me abre 100 Outlook Express (que ni tengo configurado, no lo uso) pero la máquina ni se mosquea. Y como todas se abren en la misma posición tardé unos... 10 segundos en cerrar las 100 ventanas
Me duele votar "errónea" a mahamara, pero es errónea. Si el bug es para Firefox bajo Windows, y puestos a ser tendenciosos, ¿por qué no decir "Si usas Windows NO hagas el test"?. Si se busca información neutral, se podría decir: "Encontrado bug que afecta a la versión Windows de Firefox 1.5", o algo así.
Yo lo he probado bajo Debian, y no ha hecho NADA. Por dos motivos: primero, tengo instalada la extensión NoScript (https://addons.mozilla.org/firefox/722/), la cual ha bloqueado el "ataque". Segundo, en el colmo de la audacia, jejeje, he permitido, a mano (y temporalmente), a Firefox que ejecute JavaScript proviniente del dominio securityview.org, y he recargado la página del test (http://securityview.org/test.html). Lo único que ha pasado ha sido que han salido un montón de cuadraditos de los de cuando hay un dibujo que no ha podido ser presentado.
La verdad, estoy un poco harto de informes incorrectos sobre agujeros de Firefox (entrada en mi blog: http://isilanes.blogspot.com/2006/04/more-firefox-vulnerabilities.html), que intentan poner al mismo nivel Firefox e IE, de forma que la gente piense "bueno, en el fondo ambos tienen errores". El 99% de los errores de Firefox son en realidad fallos de una plataforma (Windows) en la que corre. Para muestra otro botón, el primer post de mi blog: http://isilanes.blogspot.com/2006/03/firefox-2-microsoft-0.html. Un ejemplo de uso tendencioso de la información, para hacer pasar por "IE -1 / Firefox -1" una situación que es "Windows -2 / Software Libre 0".
Comentarios
#41 No llevas nada de razón, el noscript es un complemento que no viene por defecto en Firefox, hay que instalarlo aparte, hecho que no todo el mundo realiza. El código que causa el fallo no se ejecuta a petición del usuario, en ese ejemplo si te avisa antes, pero que pasa si aparece en otra página sin avisar. Si te cuelga el PC y tienes que reiniciar forzosamente seguro que no te hace tanta gracia.
El hecho de que solo pase en ciertas configuraciones no depende de Firefox sino del cliente de correo electrónico que tengamos por defecto.
Lo que si depende del fiefox es tratar una etiqueta mal formada, cuando debería ignorarlo. Eso si es un bug.
Un imagen cuyo src es mailto:test@securityview.org?subject=test email&body=DoS! es imposible que sea correcta, ¿el origen de una imágen, una dirección de correo?.
Para mi es un bug como un castillo, no depende de las consecuencias que pueda originar.
Este es codigo que hace que supuestamente se cuelgue:
for(i=0; i
Uso Windows XP SP2 y sigo esperando que se me cuelgue, de hecho escribo desde Firefox, ¿es un bug retardado, o algo así?
#1: El título queda mejor así
Y eres valiente por probar!
#41: Con ese criterio, el "bug" de IE al intentar abrir una imagen de tamaño gigante no es tal, porque el usuario SÍ lo ha pedido...
#38: Conmigo nada gallir, es sólo que no me parece lo de decir que una noticia es errónea sólo porque sí. Me apoyo en la definición de bug.
Pero tu eres el profesor, así que aceptaré tu palabra como válida
http://es.wikipedia.org/wiki/Error_de_software
Un error de software (computer bug en inglés), es el resultado de un fallo de programación introducida en el proceso de creación de programas de ordenador o computadora (software).
¿Entonces es errónea? Que abra cantidad de ventanas (en el mejor de los casos), sin que el usuario haya pedido, ¿no es un bug? ¿No es un bug sólo porque es FF?
Que a algunos de ustedes no le haya sucedido nada, no significa que a otros le haya podido congelar el sistema.
Aparte, existe un boletín de seguridad que da como bug lo que ha sucedido. ¿Es entonces erróneo un meneo que da a conocer ese comunicado?
El que quiera editar, que edite... ya lo han hecho con el texto del meneo, de todas maneras. Da igual.
#14: Que no te duela
Respecto a lo otro, en el informe no aclara: We have confirmed a bug in Firefox 1.5.0.3 with DoS possibilities. When you download the source of the following page you will see what it does. It will open 100 mailforms, so be cautions when you open the link!
Update:
One way to mitigate this: set
“network.protocol-handler.warn-external.mailto’ to ‘true’ (its false by
default). This will show a popup dialog […]
Así que no tenía idea que no funcionaría en GNU/Linux
#10: Ya está editada, pero no sé que más podría agregar
Y el que se asusta, es que algo tiene que temer
Parece que es para windows... he cambiado el enlace al boletín.
http://www.securityview.org/confirmed-bug-in-firefox-1503.html
Que va, si tuviese ese bug seguramente se soluciona con un
Será en güindous, porque en mi GNU/Linux no pasa nada
¿Qué pasó maha?
Yo también la he meneado, pero me arrepiendo porque compruebo que es MENTIRA. Ni se cuelga ni nada.
Para empezar, NoScript ignora la porquería, pero aún dándole permiso manual no se llega a colgar. Mahamara, tu bug tiene un bug
probado con winXP y Firefox... y hay que cambiar, como dicen en el enlace de seguridad de firefox, el valor de "network.protocol-handler.warn-external.mailto"... (ya se lo corregí a mi hija, me voy que me da no-se-que este ordenata....
Firefox 1.5 en Ubuntu... peta, bueno no ya que mi mano es más rápida que el Evolution Mail y he conseguido cerrar las 100 ventanas sin que se colgara
Vale por un meneo.
Lo he pasado --al test-- y ningun problema:
Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.3) Gecko/20060326 Firefox/1.5.0.3 (Debian-1.5.dfsg+1.5.0.3-2)
2 windows XP sp2 y nada de nada, salen imagenes por cargar y no pasa nada ni siquiera el outlook (office 2003 y office xp). firefox 1.5.0.3.
¿hay que aplicar algun parche pa que funcione?XD
Retiro lo dicho, tengo gmail configurado y asi no funciona
Lo he probado con firefox de OSX y me han empezado a salir las ventanas de mail, el Firefox no se ha colgado, pero si que "jode", así que meneo. He tenido que matar al mail.
Qué bonito, ayer mismo he configurado el thunderbird como cliente de correo por defecto para el firefox de mi Mandriva, después de meses de que no me funcionase (ni me hacía falta)... y justo sale este bug. Si lo sé no lo configuro
Funciona eso en Mac?
Pues yo voy a votar erronea. XP+sp2 +FF1.5.0.3 y si, se abren la pera de mensajes del outlook, pero se cierran y listo. No se queda colgado el PC ni el FF, ni el Outlook.
Uso un firefox no actualizado y lo he abierto. Escribo desde el firefox que sigue funcionando. Unas imagenes que no se ven y la pantalla del outlook
Hablando de todo un poco, para prevenir casos de estos, ¿cómo prevenir el uso al 100% de la CPU por parte de un usuario? Me suena que con ulimit, pero no sé cómo va o si se puede.
Tengo un pentium II400 MHz con 256 MB de RAM. Al abrir la página , el sistema ha quedado bastante inusable. Tras mucho rascar el disco duro, las X han muerto y se han reiniciado, como el ave Fénix.
Pues a mi con Firefox 1.5.0.2 y Ubuntu/Dapper ni se me cuelga ni me abre el evolution, ale
En Linux el test también provoca el error: si tienes configurado un cliente de correo por defecto para los enlaces mailto: te abre 100 correos. Lo que pasa que la máquina no se queda colgada y basta con matar los procesos de firefox y de thunderbird (en mi caso) para retomar el control de la máquina
Ojo, ahora empezamos a entendernos. El bug no tiene nada que ver con Java, ni con abrir 100 o 1000 ventanas. El bug consiste en interpretar incorrectamente un tag![]()
. El script Java sólo es un medio que ha usado el vago del programador para no escribir a mano 100 veces el tag ![]()
(podría haber escrito la fuente con otro script). Si los 100 ![]()
estuvieran explícitamente en la página, y esta no contuviera Java, el NoScript no lo pararía.
![]()
no pueden abrir mailto-s.
De hecho, un fichero HTML que contenga, simplemente:
te abrirá un cliente de correo al cargarla con Firefox (si tienes un cliente configurado). Si aparecen 1000 líneas así, se te abrirán 1000 clientes. Y esto a pesar de NoScript.
A mí me parece, lo acepto, un bug, si las especificaciones de estándares HTML dicen que los tags
mahamara (#37): "Que abra cantidad de ventanas (en el mejor de los casos), sin que el usuario haya pedido, ¿no es un bug? ¿No es un bug sólo porque es FF?"
No entiendo bien el problema, pero según lo que yo entiendo el usuario SÍ lo ha pedido. El usuario ha accedido a una página en la que un script de Java solicita abrir 100 veces el cliente de correo. Si el usuario utiliza NoScript o similares, entonces el JavaScript se bloquea. Por el contrario, si el usuario tiene el sistema configurado para aceptar ciegamente lo que un script cualquiera diga en una página desconocida... se entiende que tácitamente acepta que se le abran 100 ventanas, y por lo tanto no ocurre contra su voluntad.
Sólo puede considerarse lesivo para el usuario si este no tiene medios para evitarlo. Y en este caso sí los tiene.
¿Debe considerarse un bug que mi navegador muestre una página fea, con el fondo amarillo chillón y las letras verde clarito y pequeñísimas? Si la página original es así, este atentado ocular no es culpa del navegador, ¿no?. Para eso están las opciones de "Tamáño mínimo de letra" y de ignorar ciertos estilos de las páginas (que el fondo sea siempre blanco, o que los gráficos no se carguen, etc).
A ver con Windows 98....
(sí, uso eso :P)
mahamara (#42): desconozco ese bug, y desde luego no lo reporté yo. Si el bug consiste en que al visitar una página con una imágen gigante... abre una imágen gigante... pues efectivamente, no es un bug.
Bueno, ya voté, lo siento.
De todas formas lo pondria en la descripción de la noticia, para no asustar a TODA la gente.
Con la 1.5.0.3 sí me abre las 100 ventanitas. no me cuelga el pc pero es molesto como poco.
Sí, es errónea. Esto pasaba con la 1.5.0.2 pero no con la 3.
mahamara yo pondría erronea en el título porque creo que ya es evidente.
A mi me han salido un huevo de ventanas para enviar un correo, pero no ha petado
Windows XP SP2
Cuando llegue a mi casa lo pruebo en BSD y Ubuntu.
Uso windows xp sp1, y la ultima version del firefox 1.5.0.3, al principio se me quedo medio colgado (30 segundos) al poco tiempo resolvio el correo abrio los 100 enlaces en el thunderbird, cerrer el grupo y siguio funcionando con normalidad. Es mas escribo desde el mismo firefox, quizás se cuelgue por falta de micro o ram.
Windows XP SP2 y Firefox 1.5.0.3: no se me colgó
Me abre 100 Outlook Express (que ni tengo configurado, no lo uso) pero la máquina ni se mosquea. Y como todas se abren en la misma posición tardé unos... 10 segundos en cerrar las 100 ventanas
Voto erronea, ya que a mi no me ha pasado, igual que a Gallir.
A alguien le ha petado?
#16 y #17, ahora hablamos claro.
Bug del firefox es para todas las plataformas, cómo me temia (pero no me afectaba ). OK!
Doy constancia. Me acaba de abrir el evolution bajo Ubuntu
Me duele votar "errónea" a mahamara, pero es errónea. Si el bug es para Firefox bajo Windows, y puestos a ser tendenciosos, ¿por qué no decir "Si usas Windows NO hagas el test"?. Si se busca información neutral, se podría decir: "Encontrado bug que afecta a la versión Windows de Firefox 1.5", o algo así.
Yo lo he probado bajo Debian, y no ha hecho NADA. Por dos motivos: primero, tengo instalada la extensión NoScript (https://addons.mozilla.org/firefox/722/), la cual ha bloqueado el "ataque". Segundo, en el colmo de la audacia, jejeje, he permitido, a mano (y temporalmente), a Firefox que ejecute JavaScript proviniente del dominio securityview.org, y he recargado la página del test (http://securityview.org/test.html). Lo único que ha pasado ha sido que han salido un montón de cuadraditos de los de cuando hay un dibujo que no ha podido ser presentado.
La verdad, estoy un poco harto de informes incorrectos sobre agujeros de Firefox (entrada en mi blog: http://isilanes.blogspot.com/2006/04/more-firefox-vulnerabilities.html), que intentan poner al mismo nivel Firefox e IE, de forma que la gente piense "bueno, en el fondo ambos tienen errores". El 99% de los errores de Firefox son en realidad fallos de una plataforma (Windows) en la que corre. Para muestra otro botón, el primer post de mi blog: http://isilanes.blogspot.com/2006/03/firefox-2-microsoft-0.html. Un ejemplo de uso tendencioso de la información, para hacer pasar por "IE -1 / Firefox -1" una situación que es "Windows -2 / Software Libre 0".
A mi solo me aparecieron 100 cuadraditos de imagenes que no cargan. No se trabo.
Efectivamente, mne han salido 100 formularios de correo y el navegador no respondía
meneo