Mozilla acaba de lanzar la actualización de seguridad para Firefox que soluciona la vulnerabilidad descubierta por el plugin de QuickTime reportada la semana pasada debido a las numerosas fallas reveladas, incluidas la ejecución de scripts en archivos con órdenes (.qtl) renombrados como archivos multimedias (por ej.: .mp3), no usar los interfaces del Sistema Operativo para llamar al navegador predeterminado y permitir el uso de direcciones web inseguras en los parámetros.Para prevenir estos y otros posibles ataques originados por aplicaciones similares designadas de mala manera, Mozilla ha optado por reducir algunas comodidades en la línea de órdenes de Firefox [en] en nombre de la seguridad. En resumidas cuentas, el parámetro chrome no puede ser usado por direcciones web que empiecen con javascript: o data:, lo que suponemos será de muy bajo impacto en los usuarios y desarrolladores web.
Siguiendo las notas de seguridad de QuickTime 7.1.5 [en], lanzado a principios de este año, el parámetro qtnext en los archivos .qtl debería permitir solamente las direcciones web que empiecen con http: y https: (o file:// para los archivos locales .qtl). Si esta protección hubiera estado incluida efectivamente en esta versión, no hubiera habido ninguna vulnerabilidad en la seguridad. Deberemos esperar a que Apple reparchée esto en la próxima actualización de QuickTime.
Como siempre, puedes esperar a que Firefox lance automáticamente la actualización dentro de las próximas 48 horas, o puedes hacerlo tú mismo yendo a Buscar actualizaciones… en el menú de Ayuda.
Etiquetas: Actualización, Firefox, QuickTime, Seguridad
