"... componente kjs - um int: "... componente kjs - um intérprete de Javascript utilizado pelo navegador Konqueror"

JavaScript, putz, o JavaScript não seria apenas para renderizar e programar páginas web, o que faz um componentizinho desse ter ligação com o sistema operacional anfitriao ? Precisam parar de copiar tao bem o IE :)

Não alimentem este troll galera do KDE.: Leiam: http://br-linux.org/linux/?q=node/2647

Vinícius Medina
Usuário Linux 383765. É um também? Mostre a sua cara!

sistema operacional anfitrião: Não sei se ele tem alguma ligação com o sistema operacional anfitrião, até acho que não. Mas ele com certeza tem ligação clara e direta com recursos de outros aplicativos do KDE. Um exemplo que me vêm à cabeça e que tem forte identidade com aplicações web é o Amarok. Me parece que aquela implementação de um dashboard similar ao do Mac OS X que noticiei há algumas semanas também depende de javascript. E acho melhor que toda a manipulação de javascript seja feita por um mesmo componente.

Não sei se no caso do IE a manipulação de javascript tem maior ligação com o sistema operacional que o hospeda.

Troll?: Não acho que seja o caso dos trolls. Foi uma boa critica em minha opinião. Eu pessoalmente uso Gnome, então estou livre dessa ;)

Troll ?.: Porque tanto barulho ?. A falha ja foi corrigida, não interessa se foi no kde ou gnome, não existe software perfeito o que realmente importa é que a correção ja está disponível.

Eu diria a mesma coisa se fos: Eu diria a mesma coisa se fosse Firefox.

O que foi ?
Qual foi a provocação ?

Voce não está muito a flor-da-pele, não ?
Vê se relaxa...

ps. pior que um troll,são aqueles que decidem quem trollou ou nao, não se deram conta ainda, mas estão trollando.

Particularmente prefiro progr: Particularmente prefiro programas específicos para cada tarefa, mas sei que é muito mais fácil usar um mesmo programa para tudo, mas a componentização dum ambiente tem seu preço. Se por um lado essa integração economiza recursos e aumenta performance, pelo outro lado tá muito mais fácil colocar em risco o sistema anfitrião.

A noticia acima é relevante porque muitos servidores estão instalados com a interface gráfica e sabemos que nem todos vão atualizar o sistema, apesar da correção já estar disponível. E muitas distros já terminarão sua instaçao com o tal bug.

JavaScript do IE é um JS bem promiscuo, mistureba de VBScript+JS. Já foi possivel sobrepor um arquivo no C:\ com bugs dele (já corrigidos). A similiaridade com o IE é que a linha entre ambos os produtos é a mesma, o konqueror é um shell para o KDE assim como o IE é um shell para o Windows.

Pelo menos Flamebait né...: Por que você chega, joga a piadinha e deixa o bicho pegar fogo. Pelo menos flamebait foi.

[]s!

ps: mas eu achei muito engraçada a piada! :P

Vinícius Medina
Usuário Linux 383765. É um também? Mostre a sua cara!

JavaScript, putz, o JavaScrip: JavaScript, putz, o JavaScript não seria apenas para renderizar e programar páginas web, o que faz um componentizinho desse ter ligação com o sistema operacional anfitriao ? Precisam parar de copiar tao bem o IE :)

Ok, se não é para ser chamado de troll, gostaria de entender que diabos você quer dizer com "ligação com o sistema operacional anfitrião"?

A vulnerabilidade é um buffer overflow, não tem nada a ver com a "reusabilidade" do javascript para outras partes do KDE, nem com "ligação com o SO anfitrião" (seja lá o que for que você quis dizer com isso).

Está sendo meio difícil eu conseguir acreditar que você não está "trollando", mas vou fazer um esforço, prometo. 8)

boa: A similiaridade com o IE é que a linha entre ambos os produtos é a mesma, o konqueror é um shell para o KDE assim como o IE é um shell para o Windows.

Muito boa. *cof*cof*troll*cof*cof*

Normal...: Um software não tem a obrigação de ser perfeito e livre de falhas, apenas pelo fato dele ser, software livre!

Porém temos o diferencial de encontrar um 'bug' em um determinado software livre, reportar ou até mesmo consertar, nos fazendo assim, participantes e influente na soluções dos problemas, que sempre teremos que conviver.

Devemos pensar mais nisso, ao invés de criar mais um motivo pra dizer que minha distro ou o meu gerenciador de janelas é melhor que o seu.

---
"Nada reflete melhor a imagem de um homem do que suas próprias palavras ou mensagens..."

Stress: O problema do pessoal que utilizam o SL é que muitos são stressados.. e perdem cabelo atoa..

Galera.. no stress!

Normal: Foi isso que eu quis dizer mais acima cubano, o importante é termos a solução mais rápido do que qualquer outro modelo não importando a distro, o gerenciador de janelas ou o browser. O que importa é que usamos software livre.

um buffer overflow em um prog: um buffer overflow em um programa poderia afetar o computador com despejo de memória, mas nao poderia dar permissão de acesso ao sistema onde se está instalado o KDE (sistema anfitriao) a menos que esse serviço seja uma dependencia rigorosa de outros também e foi isso que aconteceu, aparentemente o JS é partilhado e seu despejo afeta os demais abrindo possibilidades ao cracker.

Uma similaridade com buffer overflow ocorreu com o Firefox também, quando se usava URL/Cookies gigantes poderia fazer o browser crashar. No entanto, isso não possibilitaria a exploração da maquina anfitria por um cracker.

Sei que não sou muito didatico em explicar as coisas, mas se voce se esforçar vai consegui entender o que eu tentei dizer. :)

?!?: Da notícia:

"[...] Depois, é possível ainda rodar outros códigos maliciosos para ganhar controle completo do sistema afetado."

Não entendi, "ganhar controle completo do sistema" quer dizer que há uma escalada de privilégio, isto é, o sistema operacional ficaria comprometido?

Não me parece ser isso, segundo o aviso de segurança[1] do KDE:

"3. Impact:

Remotely supplied Javascript code can perform a heap overflow
and crash the web browser or execute arbitrary code."

É dito que pode travar/derrubar o konqueror e permitir a execução de qualquer código. Mas por "qualquer código" entende-se restrito às permissões do usuário.

Diante disso, salvo engano, a expressão "ganhar controle completo do sistema" é apelativa e tendenciosa, quer seja por má-fé ou ignorância.


1. http://www.kde.org/info/security/advisory-20060119-1.txt

--
GAFFitter: a file fitter powered by a genetic algorithm.
FLTK: fast light C++ GUI toolkit.

"É dito que pode travar/derr: "É dito que pode travar/derrubar o konqueror e permitir a execução de qualquer código. Mas por "qualquer código" entende-se restrito às permissões do usuário."

Se o cara estiver logado como root ou como outro usuário com direitos equivalentes ele pode executar qualquer código. Mesma coisa com o Windows que também quando tem essa falha está restrito às permissões. Da mesma forma que no Windows sempre foi considerado crítico por esse critério, tem que ter equivalencia ao Linux.

Não é tendencioso. Avaliação de segurança leva sempre em conta o pior caso, é uma regra.


Haskell developer

[off-topic] Sobre trolls e moderação de comentários.: Olá a todos, sei que meu comentário não é relacionado com o conteúdo acima abordado, mas é uma coisa que esta me incomodando e nada como esse comentário para expor isso, sei que vou ser moderado pelos outros usuários. Mas vamos lá.

Há poucos dias atrás tenho visto que tudo o que dizem e moderado ou a pessoa marcada como troll, muitos dos comentários são bacanas, mas parece que os animos estão inflâmados, o pessoal não esta aceitando um comentário que aponte um defeito em uma distro, embiente gráfico e etc. Tenho visto nos comentários muita gente moderada, marcada como troll, isso para mim e tirar a liberdade de expressão das pessoas, pessoas essas que pode nos ensinar coisas novas, conheci muitas coisas após começar a participar do br-linux, leio os comentários de todos, sempre que possivel também expresso minha opinião sobre o assunto. Mas últimamente é so a mesma coisa, "fulano de tal e troll", "comentário tal e trollagem", "comentário e flame" e etc.

Sei que todos que participam do br-linux gostam bastante do linux, de distros específicas. Eu particularmente uso o Red Hat Enterprise Linux WS, que eu particularmente acho muito bom, e me atende. O que quero dizer com tudo isso é que precisamos aprender a respeitar a liberdade de escolha do outro, bem como o ponto de vista de cada um e parar de julgar, uma vez aqui no br-linux li um comentário de uma pessoa que disse que se não gostar do comentário passe para o outro ou expresse sua opinião sem ofender a opinião da outra pessoa. Acredito eu que é por ai.

O Red Hat Enterprise Linux WS - Standard Edition, custa o mesmo que qualquer outra distribuição que ofereça suporte.

> Se o cara estiver logado co: > Se o cara estiver logado como root [...]

Este "se" precisa estar na notícia, sobretudo porque no GNU/Linux a regra é "não rodar ambiente gráfico como administrador". Uma proposta mais completa e precisa, ao mesmo tempo que não incharia a redação da notícia, seria: "[...] ganhar controle completo do sistema afetado, dependendo dos privilégios do usuário.".

> Não é tendencioso. Avaliação de segurança leva sempre em conta o pior caso, é uma regra.

Desde que a avaliação esteja correta.

Da notícia: "Depois, é possível ainda rodar outros códigos maliciosos para ganhar controle completo do sistema afetado.". Isto está errado, não segue. Porque não basta "rodar códigos maliciosos para ganhar controle do SO", é preciso para isso que o usuário tenha privilégios suficientes. Aceitando esta sentença como correta implicaria imediatamente em uma outra falha, no nível do kernel, isto é, uma falha que permitiria a escalada de privilégios.

Tão incorreto quanto seria a afirmação "um usuário comum pode executar um 'rm / -fr' que apagará todo o conteúdo do disco". No seu raciocínio, considerando-se o pior caso onde o sistema de arquivos permite a escrita a qualquer usuário, isto seria verídico; mas esta não é a regra.

--
GAFFitter: a file fitter powered by a genetic algorithm.
FLTK: fast light C++ GUI toolkit.

Para acabar com esses comentarios: Pronto! o gnome e melhor que KDE...
E o fim do KDE... ele tinha uma falha critica !

Eu não sei o que os usuários do gnome querem... que o KDE acabe? que o kde passe a ser GDE, ou que os usuários do KDE coloquem nas suas assinaturas "gnome rox!".


Eu quero ter uma opção e hoje ela chama-se KDE... e não a bosta do gnome ou de um *box

Ótima resposta: Ótima resposta Douglas. Mas claro impossível.

Ótima resposta: Ótima resposta Douglas. Mais claro impossível.

o pessoal não esta aceitand: o pessoal não esta aceitando um comentário que aponte um defeito em uma distro, embiente gráfico e etc.

Contanto que não falem besteiras sem fundamentos todos aceitamos, o que não é o caso em 99% das vezes.

--
"Precisamos de mais gênios humildes no mundo, hoje somos poucos!"
JID: hugo@jabber.org

Os comentários que voce acho: Os comentários que voce achou que NÃO sao trollagem, modere para "Normal" e voce ajudará a retirar censura. Alguns comentários eu não vejo nada de troll mas ainda assim ficam classificados como se fosse então isso me faz achar que algumas pessoas fazem isso por birra ou mania de perseguição. Seu proprio comentario foi moderado e sinceramente nao vejo o que tem de errado nele. Moderei como "Normal", mas vamos ver quanto tempo vai durar.

Buffer Overflow é Buffer Overflow: um buffer overflow em um programa poderia afetar o computador com despejo de memória, mas nao poderia dar permissão de acesso ao sistema onde se está instalado o KDE (sistema anfitriao) a menos que esse serviço seja uma dependencia rigorosa de outros também e foi isso que aconteceu, aparentemente o JS é partilhado e seu despejo afeta os demais abrindo possibilidades ao cracker.

Um buffer overflow em qualquer programa vai dar acesso a tudo que o usuário que roda o programa tem permissão de fazer. Isso não tem nada a ver com o uso do componente por outras partes do sistema.

Eu ia pedir para você aprender um pouco mais antes de dizer algo como o que disse, mas acho que não ia ser muito educado. :)

Leia o que eu disse : um desp: Leia o que eu disse : um despejo de memoria dum programa nao vai dar acesso a um cracker a menos que este programa tenha alguma dependencia rigorosa com outro programa e/ou faça vinclulos com o sistema anfitriao.
Eu não disse que nao afetaria nada do que a conta do usuario permitisse, alias nem citei isso donde voce tirou essa idéia? Além disso, não é todo buffer overflow que vai dar acesso algum, isso vai depender do serviço ou programa, já imaginou conseguindo derrubar o firestarter e ter acessos para criar novas rotas e colocando uma rota diferente para www.bradesco.com.br ? Não é preciso ter acesso ao root para causar devastação ao usuario e ter acesso de root já foi demonstrado que é possivel e é por isso que existem correçoes.

Entenda o sistema anfitriao como o micro onde o usuario esta logado, sua conta pessoal e tudo o que há. Se eu conseguir acesso local a conta do usuario o que me impede de editar o bash, bash_profile e colocar meus programas pessoais ? ou um alias para o comando 'su', 'sudo', 'ls', ... ? Ou reeditar as rotas do firewall pessoal ?

Sua arrogancia em achar que outros nao sabem nada realmente não é muito educado. Voce sabe quanto tempo eu mexo com programação para afirmar que eu preciso aprender um pouco ? Não me refiro a que não precise aprender mais, pois sempre preciso, mas nos seus proximos comentários por gentileza ataque o problema e não a pessoa. :-/

Desculpe se fui mal educado: Desculpe se fui mal educado, mas lendo o seguinte:

um buffer overflow em um programa [...] nao poderia dar permissão de acesso ao sistema onde se está instalado o KDE (sistema anfitriao) a menos que esse serviço seja uma dependencia rigorosa de outros também e foi isso que aconteceu

Tudo o que posso dizer é que o que você escreveu acima é absurdo. A "dependência" com outras partes do sistema (melhor dizendo o "reuso" do componente javascript pelo KDE) não tem nada a ver com o que o buffer overflow vai dar acesso ao atacante. Uma vulnerabilidade de buffer overflow no JS do firefox ia dar o acesso às mesmas coisas que um buffer overflow no KDE, não importa as "dependências" que esse componente tenha. Desse modo a explicação que você dá acima soa como FUD.

Então é isso. Eu digo que o que você disse é um absurdo tecnicamente, e peço desculpas pela falta de educação. Só não quero continuar uma flamear sem razão, os leitores do br-linux não merecem (e peço desculpas por tê-la desencadeado).

Amigos? 8)