vijomc

Dsharp

Dsharp

Dsharp

Muchísimas gracias por la información!!

Fecha 02/05/2024
Importancia 4 - Alta


Lenguaje de programación R, versiones desde 1.4.0 hasta la anterior a 4.4.0.

Kasimir Schulz y Kieran Evans, investigadores de HiddenLayer, han reportado una vulnerabilidad de severidad alta en el lenguaje R que podría permitir ejecutar código arbitrario directamente tras la deserialización de datos no fiables, permitiendo a un atacante tomar el control del sistema afectado.

La investigación de HiddenPlayer ha detectado repositorios con ficheros fuente que potencialmente podrían contener código vulnerable incluidos en proyectos de R Studio, Facebook, Google, Microsoft, AWS y otros proveedores de software.
Solución

Actualizar R Core a la versión 4.4.0.

Detalle

Cuando se compila un paquete en R, se crea un archivo .rdb que contiene representaciones serializadas de los objetos que se van a incluir. El archivo .rdb va acompañado de un archivo .rdx que contiene metadatos relativos a los blobs binarios ahora almacenados en el archivo .rdb.

Un atacante podría crear archivos .rds y .rdx maliciosos y utilizar técnicas de ingeniería social para distribuir esos archivos con el fin de ejecutar código arbitrario en el dispositivo de la potencial víctima. Asimismo, también se podría aprovechar los comandos del sistema para acceder a los recursos disponibles para la aplicación y exfiltrar datos en el dispositivo de destino.

Se ha asignado el identificador CVE-2024-27322 para esta vulnerabilidad.

No he estado ni estaré nunca en el mercado laboral informático, pero sí en otros mercados, y contratando gente.
Desde mi experiencia, te puedo decir que claro que se puede valorar haber contribuido en Stack Overflow, blogs, github, canales de iniformaciòn, o incluso en foros especializados, por poner unos ejemplos. Lo que se busca en estos casos es el conocimiento de la persona a contratar mayormente, y ten por seguro que eso se ve con relativa claridad en los ejemplos citados.
De hecho, si fuera el caso, no dudaría en ponerlo en mi curriculum siempre que esas participaciones fueran algo de lo que estuviera orgulloso.
Es mi opinión.

Hola, he visto que algunas empresas piden portafolio sobre todo si eres freelance pero fuera de eso al menos aquí en México lo usual es que te pongan unos exámenes de conocimientos y luego te ponen a prueba un lapso de tiempo ya que muchas empresas pues mantienen confidencial su información así que si trabajas para estás no puedes utilizar eso como portafolio, pero bueno eso es lo que me ha pasado a mi, no sé que opinen los demás, saludos!

Buenas! Hace mucho tiempo escuché a un amigo programador decir que la empresa que lo contrató tomó en cuenta su actividad en Stack Overflow y en páginas de entrenamiento como LeetCode. Es verdad o puro chamuyo? Cuáles son sus experiencias?

Buenas Luu, yo entré el año pasado y básicamente tomaron: tipos de datos, operadores aritméticos,  operadores relacionales, asignación de variables, operadores condicionales, estructuras secuenciales, estructuras condicionales (simples y multiples), ciclos (bucles), subprogramas (procedimientos y funciones), arreglos (Arrays) simples y bidimensionales, pasaje de valores y por último recursividad. Como verás, nada que no hayas visto en otro curso de introducción a la programación. Por ahí escuché que antes tomaban lógica proposicional pero a mi no me tocó. Mucha suerte y espero que te haya servido!