Como en aquella otra ocasión, de nuevo nadie se pone de acuerdo en si fue antes el huevo o la gallina. La realidad es que ciertos ficheros multimedia maliciosamente malformados abren un grave agujero en Firefox, capaz incluso de permitir la ejecución de programas en el propio Windows con los permisos que tenga el usuario en cuestión. Para ello es necesario que Quicktime esté instalado y que Firefox sea el navegador por defecto.
El problema radica en el manejo de ficheros .qtl por el plugin de Quicktime para Firefox...
Actualizado (22:56): La situación empieza a ser idéntica al bug compartido anterior. Mozilla se lo toma en serio y trabaja en la solución. No se sabe con exactitud si el fallo afecta también a los Mac o sólo a Windows, pero algunos echan la culpa a Firefox y otros a Apple, mientras parece que Explorer es "menos vulnerable" debido a su política de zonas. Sin embargo, eEye recomienda desactivar el plugin en Explorer, Firefox y Opera. En los próximos días iremos sabiendo mejor a qué atenernos.
El sitio del descubridor del agujero dispone de varias demos que ejemplifican como mediante ficheros mp3, mov, mpeg o avi es posible arrancar un programa en Windows (la calculadora sirve como ejemplo).
Una vez más, NoScript desarma el ataque.
- 0-day: Quicktime pwns Firefox [GNU Citizen].
desactivar quicktime
anónimo28 Abril 2008 - 5:48pm
tengo quicktime instalado pero no se desactivar el plugin, alguien me puede ayudar???
vulnerabilidad en mac
anónimo14 Septiembre 2007 - 12:26pm
En mac la cosa no funciona, aparece un pop emergente que te advierte que estás siendo redirigido a mozilla.org y si es eso lo que quieres hacer, que puede ser un engaño.
Pero si le dices que si, puedes capturar el código que utiliza para lanzar la aplicación en windows.
Ni Firefox ni Quicktime
cascella13 Septiembre 2007 - 11:29pm
Qué cosas tiene la vida??
En mi PC tengo Firefox pero no Quicktime, mientras que en mi portátil tengo Opera y Quicktime, será que a mi si me funciona el ángel guardián??...
Salu2...
NoScript
anónimo13 Septiembre 2007 - 8:50pm
NoScript debe ser la primera extensión que le instalo al Firefox... aunque algunos amigos me piden que lo deshabilite (o yo lo encuentro deshabilitado después) porque no se acostumbran a tener que dar permiso a cada sitio nuevo que visitan. Pero para mi es fundamental esta extensión.
El Komodo se lo come
anónimo13 Septiembre 2007 - 8:33pm
El Komodo se lo come antes de dejarlo arrancar...
Una vez mas, no usar guindus
anónimo13 Septiembre 2007 - 7:24pm
Una vez mas, no usar guindus salva el ataque.
¿Colaborativa?
anónimo13 Septiembre 2007 - 6:39pm
No creo que Firefox colabore a poner vulnerabilidades. Lo que pasa es que Firefox es seguro y Quicktime vete a saber como esta hecho.
Quicktime es nefasto y Apple, como Windows y todos sus productos, nadie se salva. Todo el software de pago tiene fallos y huecos por todo los lados.
Anda que ya te vale
anónimo22 Noviembre 2007 - 8:52pm
Desde luego aseveraciones como la tuya son impresionantes, ¿cómo puede hablarse en términos tan absolutos y con tan poco rigor? La primera máxima es que no hay nada que no se pueda hackear, todo es una cuestión de tiempo y método. En el software libre, como en el freeware, opensource o propietario hay buenos y malos programas y a mi entender cada caso concreto tiene soluciones con distintas tipologias de software. Lo que debemos que tener en cuenta siempre es el coste de oportunidad del proyecto previo analisis tanto de nuestras necesidades, como expectativas, plazos y presupuesto.
En fin te ruego trates de hablar con algo más de propiedad, también te encomendaría a algún santo pero me temo que soy ateo gracias a Dios.
adeu
Troll
anónimo14 Septiembre 2007 - 1:43pm
Me parece que eres un poco troll, porque alguien con dos dedos de frente no puede decir eso. ¿Qué todo software de pago tiene fallos? Claro. Pero lo dices como el libre no los tuviera. Es más, algunas veces al permitirse a cualquiera que "aporte" código acabas con código bazofia peor que el comercial, donde los programadores se seleccionan y cuenta el currículum. Por ejemplo.
El software libre también tiene fallos
anónimo13 Septiembre 2007 - 7:56pm
El software libre también tiene fallos, lo que pasa que cualquiera puede encontrarlo y mandar un informe sobre el fallo, no por ser SL se libra de los fallos. Siempre con la misma candela, decir eso lo único que aporta es falsedades y mentiras para el SL que es lo que se intenta evitar a toda costa.
Estoy de acuerdo
anónimo13 Septiembre 2007 - 8:19pm
pero lo que pasa es que si el SL tiene fallos se detecta mucho más rápidamente y ya esta disponible una actualización para cubrir ese fallo. En cambio, con el no SL lo que pasa que van a arreglar esos fallos cuando ellos les apetezca o cuando para ellos sea importante ese fallo. Y la solución no es incorporar esa actualización en una nueva versión para vender el porducto, no se si me explico?
Ah, sí...
admin13 Septiembre 2007 - 6:46pm
Se me olvidaba que Firefox es "perfecto"...
¿Para cuando?
anónimo13 Septiembre 2007 - 6:33pm
El Señor Giorgio Maone y todos sus colaboradores merecen un monumento ya. ¿De cuantos sustos nos ha librado ya NoScript?
Maone
admin13 Septiembre 2007 - 6:44pm
Totalmente de acuerdo.
Y no sólo eso; es que NoScript no para de mejorar y protege cada día contra más cosas.
Quizás tiro piedras contra mi propio tejado (la publicidad de Google necesita javascript) pero no me importa: NoScript es imprescindible.
Aunque, claro, tampoco es la panacea. Si le autorizamos a permitir scripts cada vez que una página desconocida se nos muestre en blanco si no lo hacemos, tampoco sirve de nada. Al final siempre es el usuario el que manda.
Igual tampoco se salva, pero
anónimo13 Septiembre 2007 - 6:13pm
Igual tampoco se salva, pero hay un programita llamado QuickTime Alternative que quizá no tenga el agujero.
Sé que no viene a cuento, pero imaginad cómo tiene que ser de malo un programa para que alguien haga otro que lo sustituya en funcionalidad eliminando toda la ponzoña-extra-innecesaria. Yo conozco dos, a cuál peor. Quicktime y RealAudio, ambos con sus versiones Alternative.
Quick time
anónimo13 Septiembre 2007 - 6:04pm
por eso yo jamás instalo quick time... prefiero VLC y ver videos off-Line :D
¿por eso? digo yo que será
anónimo13 Septiembre 2007 - 6:13pm
¿por eso? digo yo que será por alguna otra cosa porque de "eso" acaba usted de enterarse, ¿no?