19 de septiembre de 2007
Por Percy Cabello

Sacsahuaman wallMozilla acaba de lanzar la actualización de seguridad para Firefox que soluciona la vulnerabilidad descubierta por el plugin de QuickTime reportada la semana pasada debido a las numerosas fallas reveladas, incluidas la ejecución de scripts en archivos con órdenes (.qtl) renombrados como archivos multimedias (por ej.: .mp3), no usar los interfaces del Sistema Operativo para llamar al navegador predeterminado y permitir el uso de direcciones web inseguras en los parámetros.

Para prevenir estos y otros posibles ataques originados por aplicaciones similares designadas de mala manera, Mozilla ha optado por reducir algunas comodidades en la línea de órdenes de Firefox [en] en nombre de la seguridad. En resumidas cuentas, el parámetro chrome no puede ser usado por direcciones web que empiecen con javascript: o data:, lo que suponemos será de muy bajo impacto en los usuarios y desarrolladores web.

Siguiendo las notas de seguridad de QuickTime 7.1.5 [en], lanzado a principios de este año, el parámetro qtnext en los archivos .qtl debería permitir solamente las direcciones web que empiecen con http: y https: (o file:// para los archivos locales .qtl). Si esta protección hubiera estado incluida efectivamente en esta versión, no hubiera habido ninguna vulnerabilidad en la seguridad. Deberemos esperar a que Apple reparchée esto en la próxima actualización de QuickTime.

Como siempre, puedes esperar a que Firefox lance automáticamente la actualización dentro de las próximas 48 horas, o puedes hacerlo tú mismo yendo a Buscar actualizaciones… en el menú de Ayuda.

Etiquetas: , , ,

 
posted by FrancJP at 12:03 p. m. |


0 Comments: