Vía hispasec, me entero de que se ha anunciado una supuesta vulnerabilidad "0 day" que permitiría la ejecución de código remoto, independientemente del sistema operativo utilizado.

El error "parece" (ya que no han sido publicados más detalles, y se cuestiona en algunos foros) derivarse de la interpretación de Javascript. Y según se indica en la noticia, esto no es raro, ya que "los propios Spiegelmock y Wbeelsoi califican su implementación en Firefox de "un completo desorden" y afirman conocer al menos 30 fallos más que pueden permitir vulnerar al navegador a través de desbordamientos de pila y JavaScript. "Es imposible de parchear", afirmaron."



Al margen de la veracidad de la vulnerabilidad (y de la eterna discusión sobre la "seguridad" de los navegadores), resulta chocante que en el actual mercado de las aplicaciones web, donde Javascript se ha convertido omnipresente o incluso imprescindible, el utilizarlo se pueda convertir en un enorme agujero de seguridad para los usuarios.



¿Javascript 1 - Seguridad 0?

¿No hay forma de tener intérpretes de Javascript seguros? ¿Culpa del lenguaje o de la implementación?