Window Snyder, encargado de la seguridad en ha confirmado [en] la vulnerabilidad que afecta al plugin de QuickTime en Firefox y ha informado que Mozilla ya está trabajando en un parche con Apple.
El trabajo en curso se está registrando en el bug 395942 [en] (gracias a Jesse por indicármelo). Entre otros descubrimientos, un análisis más detallado ha revelado que la vulnerabilidad afecta sólo a los usuarios de Windows (no es que sean pocos, pero...) y que QuickTime hace una llamada directa al navegador identificado como predeterminado en lugar de usar una API de Windows que evitaría los intentos de ataque como éste.
Aunque Mozilla está trabajando con Apple, también está evaluando la posibilidad de limitar el alcance del parámetro de línea de órdenes -chrome a únicamente URLs internas como chrome:// y resource://; o incluso eliminar por completo el parámetro.
El parámetro -chrome permite iniciar Firefox con un interfaz diferente al predeterminado. Por ejemplo, si ejecutas firefox -chrome chrome://browser/content/bookmarks/bookmarksManager.xul iniciarás Firefox con únicamente la ventana del administrador de marcadores. Esto proporciona algunas opciones interesantes como iniciar ChatZilla o FireFTP como si fueran aplicaciones “independientes”.
Sin embargo, también tiene otros usos más allá de las comodidades que incluyen la realización automática de pruebas como parte del proceso de control de calidad, así que una limitación parcial sería la mejor opción.
Sigue sin saberse cuándo podría estar listo el cambio. La próxima actualización de Firefox, 2.0.0.7, está prevista para primeros de octubre y puede haber tiempo suficiente para que se incluya una corrección a este problema.
Etiquetas: Firefox, QuickTime, Seguridad, Vulnerabilidades