Estas aquiContenido / Las responsabilidad por el "bug compartido" apunta otra vez a Microsoft
Las responsabilidad por el "bug compartido" apunta otra vez a Microsoft
Nadie se puso de acuerdo en el momento de su descubrimiento, pero tras evidenciar que la seguridad preocupa de muy distinta forma a unos y otros, vamos sabiendo algo más sobre el famoso y peligroso bug que continúa activo y sin parche, y que inicialmente parecía requerir la colaboración de Firefox y Explorer en Windows XP.
Y es que después de reconocer Mozilla el bug como propio, y con su equipo de desarrollo atascado en un auténtico callejón sin salida (del que están considerando salir incluso a base de sacar como definitiva la versión RC2 de Firefox 2.0.0.6, pese a que tampoco es totalmente inmune), una nueva vuelta de tuerca parece colocar ahora la responsabilidad de bug en el sitio que sólo los más conspiranoicos atisbaron: el propio sistema operativo Windows XP en asociación con Explorer 7...
Actualizado (31-JUL, 10:40): Mozilla publica Firefox 2.0.0.6 y da el tema por resuelto.
Porque se ha comprobado que un mailto malicioso cliqueado en Skype también facilita la ejecución de código en Windows XP. Y lo que es más significativo y cualquier usuario de XP con Explorer 7 puede comprobar: si en Inicio -> Ejecutar introducimos el comando siguiente, la calculadora (que es sólo una muestra de cualquier ejecutable) también arranca:
mailto:test% ../../../../windows/system32/calc.exe".cmd
Ante esta evidencia, la responsabilidad de Mozilla en el bug se disuelve.
¿Reconsiderará Microsoft su postura inicial de no reconocer todo esto como un problema propio? Lo dudo. Con la necesidad estratégica de reemplazar cuanto antes Windows XP por Vista, parece difícil que Microsoft rectifique y decida precisamente ahora parchear el deficiente manejo de URIs en un sistema operativo con fecha de caducidad que parece seguir concentrando -a su pesar- el interés de sus clientes.
Tengo WXP SP2 en mi PC. Me limité a copiar la línea que aparece en el posteo en la ventana para lanzar aplicaciones; y lo único que consigo es invocar Outlook con el string que le sigue a "mailto:" como dirección destinatario...
Si no tienes instalado el IE7 no funciona. Al parecer es un problema del XP con IE7. Si tienes Vista o IE6 estás "a salvo" ;-)
Los revolucionarios de hoy son los conservadores del mañana, pues la vida pasa y los hombres, al hacernos viejos, nos quedamos atrás...
Es necesario WinXP + IE 7 ;)
He publicado en mi sitio sobre este fallo centrándome en que es algo que Firefox debe corregir, pero el hecho de que solamente funcionara en forma exclusiva bajo Windows XP + IE7 instalado hace pensar que hay algo ahí que no está bien.
Por lo que veo la RC2 de Firefox 2.0.0.6 tiene que ser testeada aún como hacen con todos los lanzamientos:
http://wiki.mozilla.org/Firefox:2.0.0.6:Test_Plan
Al final Secunia no estaba tan errado. Lo peor es que de parte mismo de Microsoft dijeron que no era responsabilidad de ellos. Y no se trata de silenciar los problemas de Firefox, sino de decir como son las cosas realmente.
Saludos
Como siempre microsotft esta por la labor de la cooperacion y el bienestar de la comunidad, ;), a ver que es lo que hacen esta vez, aunque yo por mi parte estoy mas convencido cada dia de usar solo linux y dejar a un lado al buen amigo Bill para que siga con su galimatias como le de la real gana.
Ya disponible ... eso.
En mi XP, con SP1, el correo electrónico está asociado al procesador de correo Pegasus Mail, y el "mailto" abre dicho programa de correo en lugar de la calculadora.
¿Es posible que la vulnerabilidad sea sólo con aquellos que usan Outlook o derivados?
El sistema de URIs bajo Windows no incluye ningún mecanismo para comprobar o determinar la seguridad de un protocolo concreto. Le da igual un firefox:// que un mailto:// que cualquier otra cosa, lo trata todo como enlaces en el ámbito de seguridad local. Digamos, suavemente, que es una chapuza.
El problema se agrava cuando un navegador (MSIE) permite acceder a manejadores de protocolo (en ámbito local) desde el ámbito de páginas web inseguras. Pero claro... Windows tampoco ofrece al navegador ninguna forma de diferenciar manejadores seguros de inseguros, tendría que ser el navegador quien los diferenciase "a ojo" (una lista predefinida, por ejemplo).
¿De quién es "la culpa"?
Al final "la culpa" es de todos, aunque esencialmente lo sea de Windows.
PD: alucinado me ha dejado que se tilde de "conspiranoicos" a quienes vimos esto desde el primer día.
Tienes razón en que la expresión no es afortunada.
Vale; cambio "conspiranoicos" por "iluminaos", porque eso no lo vio el primer día ni el que descubrió el bug, ni días después Window Snyder, ni el mismísimo papa de roma ;-)
Falla con inicio -> ejecutar... Se lo traga enterito.