La "organización creativa de hackers", GNUCITIZEN, ha desvelado detalles sobre un grave agujero de seguridad que afecta a los usuarios de Firefox que tengan instalado el plugin de Quicktime en Windows o Mac OS X, que como mínimo incluye a todos los usuarios de estos sistemas que tengan instalado iTunes.
Esta vulnerabilidad está basada en los archivos de enlace de QuickTime Media (.qtl), archivos XML simples que incluyen detalles acerca del archivo que va a ser reproducido (como .avi, .mov o .mp3), y otros valores de configuración. De cualquier modo, uno de estos parámetros, qtnext, permite al que publica especificar una dirección web (URL) para ser visualizada cuando el archivo multimedia finalice. Esta URL podría tener una instrucción en JavaScript, como las que son utilizadas actualmente en miles de páginas webs y servicios.
Hasta este punto no hay problema. Pero Firefox en sí mismo es controlado mediante código JavaScript y en un entorno aislado que lo separa de los códigos de las páginas web. El plugin de QuickTime puede acceder al código de Firefox como cualquier otro objeto y manipularlo para que corra cualquier aplicación en un ordenador atacado.Para hacer esto aún peor, los archivos QTL pueden ser renombrados como .mp3, .mpg, .avi o como cualquiera de las docenas de formatos de archivos que QuickTime admite y pueden ser manipulados en ese sentido, facilitando el camino para más ataques.
El test de prueba demostrado en GNUCITIZEN realmente es alarmante: al pinchar sobre un archivo mp3 el plugin de QuickTime trata de cargar el archivo, que no existe, así que rapidamente lanza la calculadora de Windows. Aunque en realidad podría lanzar cualquier aplicación con cualquier parámetroNo está claro a mi entender en quién recae la responsabilidad, pero si QuickTime forzara un nombre apropiado de los formatos de archivo, eso ayudaría al menos a saber cuándo un sitio está hospedando un archivo que podría contener algún script malicioso.
Por otro lado, Firefox no debería permitir que un plugin pueda enviar scripts a su código. Para agravar aún más el asunto ésta es la tercera vez que GNUCITIZEN revela la misma vulnerabilidad: fue desvelada hace un año atrás (en) y luego nuevamente meses después (en).
Dada la gravedad de la vulnerabilidad, debería ser solucionado ya mismo.Entretanto si tienes instalado el plugin de QuickTime, casi cualquier archivo multimedia podría tomar control de tu ordenador, así que te sugiero que deshabilites el plugin tan rápido como puedas.
Supongo que habrá una manera más civilizada de hacer esto, pero mientras se encuentre, renombra la carpeta de plugins en la ubicación donde instalaste QuickTime. En Windows por defecto debería ser: C:\Archivos de Programa\QuickTime. Los archivos multimedia seguirán asociados al plugin, así que si pinchas en uno de estos archivos se debería abrir una página en blanco, lo cual sería un método rápido de protección.
Lee el informe completo en GNUCITIZEN (en).Etiquetas: Firefox, Seguridad, Vulnerabilidades