Cuidado con las skins de Winamp
Según Secunia se puede usar una skin del famoso reproductor Winamp para colocar un programa en cualquier parte del sistema de archivos que se desee y ejecutarlo.
El usuario debe descargar voluntariamente una skin maliciosa, pero como no hay forma de diferenciarla de cualquier otra a primera vista, esto no tiene importancia. Las skins de Winamp vienen en archivos WSZ, que son paquetes de archivos comprimidos ZIP normales, con las imágenes necesarias y uno o más archivos XML en su interior. En uno de estos archivos XML puede hacerse una llamada a un documento HTML, es decir, una página web, por lo tanto Windows llamará al navegador por defecto para interpretarla. Este documento HTML tiene que contener una etiqueta OBJECT con su correspondiente atributo CODEBASE, que indica al navegador que debe cargar otro programa y dónde debe ir a descargarlo. En ese momento, si el navegador por defecto es Internet Explorer, gracias a los problemas de seguridad de este navegador con esa etiqueta, descargará y ejecutará el programa sin preguntar nada al usuario. En el caso de que sea otro el navegador por defecto, el usuario verá un diálogo del sistema preguntando qué debe hacer con el archivo, y le dará a elegir entre abrirlo, descargarlo al disco o cancelar la operación.
Microsoft ha intentado corregir los problemas de IE con la etiqueta OBJECT en tres ocasiones (con 3 parches distintos) y todavía es posible conseguir que ejecute programas sin preguntar si se consigue que se llamen a través de un archivo guardado en la propia máquina, lo que Microsoft llama la zona de seguridad "Mi PC" que no tiene restricción alguna. Es un ejemplo de lo frágil que es el diseño de Zonas de Seguridad de Windows. Se supone que el SP2 para Windows XP debe reforzar este punto débil, pero aún no está disponible en castellano.
Se ha comprobado que funciona con versiones de Winamp 3.x y 5.x (incluida la última, 5.04) en Windows XP SP1 con todos los parches instalados (en cualquier otra versión de Windows debería funcionar igualmente, ya que el fallo principal está en IE). No está confirmado si funciona o no en el SP2.
Las soluciones pasan por usar la versión Classic de Winamp, no descargar nuevas skins hasta que una nueva versión de Winamp corrija el fallo, usar otro programa para la reproducción de audio/video y, sobre todo, tener un navegador distinto de Internet Explorer como predeterminado.
El usuario debe descargar voluntariamente una skin maliciosa, pero como no hay forma de diferenciarla de cualquier otra a primera vista, esto no tiene importancia. Las skins de Winamp vienen en archivos WSZ, que son paquetes de archivos comprimidos ZIP normales, con las imágenes necesarias y uno o más archivos XML en su interior. En uno de estos archivos XML puede hacerse una llamada a un documento HTML, es decir, una página web, por lo tanto Windows llamará al navegador por defecto para interpretarla. Este documento HTML tiene que contener una etiqueta OBJECT con su correspondiente atributo CODEBASE, que indica al navegador que debe cargar otro programa y dónde debe ir a descargarlo. En ese momento, si el navegador por defecto es Internet Explorer, gracias a los problemas de seguridad de este navegador con esa etiqueta, descargará y ejecutará el programa sin preguntar nada al usuario. En el caso de que sea otro el navegador por defecto, el usuario verá un diálogo del sistema preguntando qué debe hacer con el archivo, y le dará a elegir entre abrirlo, descargarlo al disco o cancelar la operación.
Microsoft ha intentado corregir los problemas de IE con la etiqueta OBJECT en tres ocasiones (con 3 parches distintos) y todavía es posible conseguir que ejecute programas sin preguntar si se consigue que se llamen a través de un archivo guardado en la propia máquina, lo que Microsoft llama la zona de seguridad "Mi PC" que no tiene restricción alguna. Es un ejemplo de lo frágil que es el diseño de Zonas de Seguridad de Windows. Se supone que el SP2 para Windows XP debe reforzar este punto débil, pero aún no está disponible en castellano.
Se ha comprobado que funciona con versiones de Winamp 3.x y 5.x (incluida la última, 5.04) en Windows XP SP1 con todos los parches instalados (en cualquier otra versión de Windows debería funcionar igualmente, ya que el fallo principal está en IE). No está confirmado si funciona o no en el SP2.
Las soluciones pasan por usar la versión Classic de Winamp, no descargar nuevas skins hasta que una nueva versión de Winamp corrija el fallo, usar otro programa para la reproducción de audio/video y, sobre todo, tener un navegador distinto de Internet Explorer como predeterminado.
4 comentarios
D4 -
Sad Woman -
Tu blog me gusta ¿la plantilla la has hecho tú? Y otra pregunta ¿todo el diseño de este blog lo has hecho con un editor de texto y utilizando sólo html y css?
Felicidades está muy bien, me pasaré por aquí de vez en cuando!
Saludos
D4 -
El SP2 no es la panacea, pero conviene instalarlo. Hay que asegurarse de que la máquina está limpia de spyware primero, porque sino es altamente probable que la instalación falle.
Aitor -