El fallo se debe a un error de diseño a la hora de procesar el parámetro ‘qtnext’ dentro de ficheros QuickTime link (.qtl). Esto podría permitir a un atacante ejecutar código si la víctima abre con un reproductor vulnerable un fichero especialmente manipulado o visita una web también especialmente manipulada para aprovechar la vulnerabilidad. En concreto, un fallo a la hora de depurar contenido XML permite a un atacante ejecutar JavaScript incrustado, comprometiendo el navegador y probablemente el sistema operativo.
El descubridor ya publicó un problema muy parecido de Quicktime en septiembre de 2006, que según dice fue ignorado por Apple. Ahora el fallo ha sido estudiado con mayor profundidad y se considera de riesgo muy alto. Ha colgado en su web una prueba de concepto que permite ejecución de código directa si se visita el enlace con Firefox. Según su descubridor Internet Explorer también es vulnerable, pero el impacto es menor gracias a la política interna de zonas del navegador. También parece igualmente que sólo bajo Windows se es vulnerable y posiblemente bajo Mac OS X.
No existe parche oficial. Se recomienda no visitar páginas que contentan enlaces Quicktime no solicitados. eEye recomienda en cualquier caso, deshabilitar los plugins en los navegadores, renombrado los ficheros npqt*.dll o nppqt*.dll en el directorio correspondiente o (para Internet Explorer) activar el kill bit de QuickTime con los CLSID 02BF25D5-8C17-4B23-BC80-D3488ABDDC6B y 4063BE15-3B08-470D-A0D5-B37161CFFD69. Firefox dice estar trabajando ya en una nueva versión que impida que el navegador se convierta en el desencadenante de la vulnerabilidad.
En todos los casos, y como medida básica de seguridad, se recomienda hacer uso de NoScript (plugin para Firefox) o las zonas de Internet Explorer (funcionalidad integrada para deshabilitar la ejecución de JavaScript en páginas no confiables).
Noticias Hispasec
NOTA: El plugin "NoScript" (es gratuito) para FireFox* puede descargarse desde:
http://noscript.net
https://addons.mozilla.org/es-ES/firefox/addon/722 Descarga directa
*Supported browsers: Firefox 1.5.0.6 and above, SeaMonkey 1.0.5 and above, Flock, IceWeasel, Minefield
warning: no other browser/version is supported
