Se ha reportado una vulnerabilidad multiplataforma del tipo Zero-day, que permite la ejecución de código malicioso a través de Firefox y el plugin para QuickTime.

La utilización del plugin para QuickTime en Firefox, permite la reproducción de videos y otros archivos multimedia.

QuickTime utiliza formatos de metadata (pequeños archivos que hacen referencia al verdadero archivo multimedia), para lograr acciones como la reproducción automática.

Estos formatos están escritos en XML y son almacenados como enlaces de contenidos de QuickTime con extensión .QTL.

Una vulnerabilidad en la implementación de este formato, permite utilizar Firefox para la ejecución arbitraria de código. Un atacante que explote esto con éxito, podría llegar a tomar el control total del sistema.

Se ha publicado una prueba de concepto que permite la ejecución de la calculadora de Windows, cuando se hace clic sobre un archivo XML con extensión .QTL.

Tenga en cuenta que para engañar al usuario, dicho código puede insertarse en cualquier otro formato de archivo soportado por QuickTime, por ejemplo 3g2, 3gp, 3gp2, 3gpp, AMR, aac, adts, aif, aifc, aiff, amc, au, avi, bwf, caf, cdda, cel, flc, fli, gsm, m15, m1a, m1s, m1v, m2a, m4a, m4b, m4p, m4v, m75, mac, mov, mp2, mp3, mp4, mpa, mpeg, mpg, mpm, mpv, mqv, pct, pic, pict, png, pnt, pntg, qcp, qt, qti, qtif, rgb, rts, rtsp, sdp, sdv, sgi, snd, ulw, vfw, wav.

No existen parches ni actualizaciones para este problema.

Más información:

0DAY: QuickTime pwns Firefox
http://www.gnucitizen.org/blog/0day-quicktime-pwns-firefox

0DAY: QuickTime pwns Firefox
http://www.securityfocus.com/archive/1/479179/30/0/threaded


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

De todas maneras la utilización de NoScript para evitar la explotación no es un parche, es una medida de seguridad temporal.

Haya paz. A pesar de que los que utilizamos NoScript SIEMPRE no seriamos vulnerables, es tan sencillo como cambiar la acción predeterminada para el tipo de archivo. Incluso para que no te pillen por sorpresa, en la pestaña 'Avanzado' dispones de la opción Bloquear otros plugings.

Repito que esta vulnerabilidad es pública y está documentada desde Octubre del 2006 y me consta que se lleva explotando desde entonces (yo lo hice con un PDF la primera vez, pero la metodologia para crear el exploit es la misma y el bug consiste en lo mismo).

La contramedida consiste en no abrir con QuikTime los archivos que puedes abrir con reproductores como VLC, Windows Media Player, etc...  En Firefox:
Herramientas > Opciones >pestaña Contenido y en Tipos de archivo pulsar el botón Administrar cambiando la acción predeterminada para los tipos de archivo mencionados con reproductores alternativos.

Personalemente, recomiendo cambiar todas las acciones predeterminadas por Guardar en disco.

http://foro.elhacker.net/index.php/topic,155048.msg734243.html#msg734243

Si te digo que está documentado desde Octubre del 2006 es porque es así hombre.

Cuando digo 'SIEMPRE' me refiero a constantemente, no desde que se publicaron las primeras versiones del plugin yq es una contramedida actualmente válida.

gracias..