Se encontró ayer un fallo de seguridad en Mozilla, Firefox y Thunderbird (en cualquiera de ellos, sólo si están instalados sobre Windows) que permitía ejecutar programas instalados y pasarles parámetros construyendo un enlace shell://. Si se consiguiese explotar un fallo de desbordamiento de buffer en alguno de los programas instalados a través de un enlace de este tipo (y engañando al usuario para que lo pulse) el resultado sería la capacidad de ejecutar cualquier código en la máquina víctima; o más fácil (atención, lo que sigue va medio en broma, medio en serio, debo tener el día tonto) en vez de buscar un desbordamiento de buffer, se podría ejecutar Internet Explorer y pasarle como parámetro una página preparada para que descargara, instalara y ejecutara sin informar al usuario lo que hiciera falta.

Se ha anunciado la próxima salida de Mozilla 1.7.1, Firefox 0.9.2 y Thunderbird 0.7.2 para solventar este fallo. Mientras tanto, se aconseja desactivar el manejo del protocolo shell en cada uno de los productos afectados a los usuarios de alguno de éstos programas en sistemas operativos Windows. Ésto puede hacerse de dos maneras:

• La sencilla: usar el XPI que se ha preparado para hacer los cambios pertinentes pinchando en el enlace siguiente: Instalar Shellblock
  
• La avanzada: usar about:config para crear una nueva entrada de tipo lógico, con nombre network.protocol-handler.external.shell y asignarle el valor false.
  

Por su parte, Opera ya ofrece para descarga la versión 7.52 de su navegador, que soluciona el fallo de seguridad que afectaba a casi todos los navegadores descubierto la semana pasada.

De Microsoft y su Internet Explorer, en cambio, sólo hay malas noticias.

Tanto los desarrolladores de Mozilla como los de Opera han respondido con una rapidez encomiable pero, como siempre, no servirá de nada si los usuarios no responden con igual rapidez.