• Tweet

Mozilla publicó una nueva versión de Firefox el martes en un esfuerzo por detener los ataques que utilizan también al reproductor QuickTime de Apple.

En el Aviso de Seguridad Mozilla Foundation 2007-28, la compañía reconoció la semana pasada lo descubierto por el investigador Petko D. Petkov. Lo cual indica que los archivos media del tipo QuickTime contienen un atributo qtnext que podría ser utilizado en los sistemas Windows para activar el navegador con opciones de línea de comando arbitrarias.

"Cuando el navegador default es Firefox 2.0.0.6 o anterior, el uso de la opción -chrome permite a un intruso remoto ejecutar comandos script con todos los privilegios de usuario," dijo Mozilla en un aviso. " Esta opción podría ser utilizada para instalar malware, robar datos locales, o aparte de eso corromper la computadora de la víctima."

Para proteger a los usuarios Firefox del vector de ataque, dijo Mozilla que elimino la habilidad para ejecutar scripts arbitrarios desde la línea de comandos. Sin embargo otras opciones de línea de comando permanecen, y los archivos media del tipo QuickTime todavía son utilizados para molestar a usuarios con ventanas popup hasta que el problema sea solucionado en QuickTime y Mozilla agrego.

Los usuarios Firefox están siendo advertidos automáticamente para actualizar a la versión 2.0.0.7, la cual incluye la solución.