Um analista de segurança do grupo open source GNUCitizen descobriu uma falha de segurança que pode afetar usuários do Firefox e do QuickTime (especialmente clientes do iTunes) no Windows XP. Um ano atrás, Petko D. Petkov descobriu que códigos JavaScript embutidos em páginas da Internet poderiam ser usados para se abrir novas janelas do Firefox, executando códigos sem nenhuma checagem - e a falha continua.
Em uma máquina com Windows XP e usando o Firefox, os códigos em páginas da Internet que referenciam arquivos do QuickTime podem tentar abrir arquivos que na verdade não existem. O problema é que nesta chamada para um arquivo não existente, o atacante pode embutir códigos JavaScript que não passam por nenhuma checagem, e são executados diretamente. Teoricamente, o atacante pode fazer qualquer tipo de ação.
A exploração funciona apenas quando o Firefox é o navegador padrão, e também acaba afetando o Internet Explorer 7 (já que a segunda janela de navegação, aberta pela exploração da falha, será do Firefox). Quando o Internet Explorer 7 é o navegador padrão, a segunda janela aberta é do próprio IE, mas nenhum código é executado.
Mais informações: BetaNews
