Blogia
navegaseguro
¿Y esta publicidad? Puedes eliminarla si quieres

Cuidado con las skins de Winamp

Según Secunia se puede usar una skin del famoso reproductor Winamp para colocar un programa en cualquier parte del sistema de archivos que se desee y ejecutarlo.

El usuario debe descargar voluntariamente una skin maliciosa, pero como no hay forma de diferenciarla de cualquier otra a primera vista, esto no tiene importancia. Las skins de Winamp vienen en archivos WSZ, que son paquetes de archivos comprimidos ZIP normales, con las imágenes necesarias y uno o más archivos XML en su interior. En uno de estos archivos XML puede hacerse una llamada a un documento HTML, es decir, una página web, por lo tanto Windows llamará al navegador por defecto para interpretarla. Este documento HTML tiene que contener una etiqueta OBJECT con su correspondiente atributo CODEBASE, que indica al navegador que debe cargar otro programa y dónde debe ir a descargarlo. En ese momento, si el navegador por defecto es Internet Explorer, gracias a los problemas de seguridad de este navegador con esa etiqueta, descargará y ejecutará el programa sin preguntar nada al usuario. En el caso de que sea otro el navegador por defecto, el usuario verá un diálogo del sistema preguntando qué debe hacer con el archivo, y le dará a elegir entre abrirlo, descargarlo al disco o cancelar la operación.

Microsoft ha intentado corregir los problemas de IE con la etiqueta OBJECT en tres ocasiones (con 3 parches distintos) y todavía es posible conseguir que ejecute programas sin preguntar si se consigue que se llamen a través de un archivo guardado en la propia máquina, lo que Microsoft llama la zona de seguridad "Mi PC" que no tiene restricción alguna. Es un ejemplo de lo frágil que es el diseño de Zonas de Seguridad de Windows. Se supone que el SP2 para Windows XP debe reforzar este punto débil, pero aún no está disponible en castellano.

Se ha comprobado que funciona con versiones de Winamp 3.x y 5.x (incluida la última, 5.04) en Windows XP SP1 con todos los parches instalados (en cualquier otra versión de Windows debería funcionar igualmente, ya que el fallo principal está en IE). No está confirmado si funciona o no en el SP2.

Las soluciones pasan por usar la versión Classic de Winamp, no descargar nuevas skins hasta que una nueva versión de Winamp corrija el fallo, usar otro programa para la reproducción de audio/video y, sobre todo, tener un navegador distinto de Internet Explorer como predeterminado.
¿Y esta publicidad? Puedes eliminarla si quieres.
¿Y esta publicidad? Puedes eliminarla si quieres

4 comentarios

D4 -

Pues sí, y espero que la nueva plantilla también te guste, porque la estaba cambiando mientras escribías ;-)

Sad Woman -

Hola
Tu blog me gusta ¿la plantilla la has hecho tú? Y otra pregunta ¿todo el diseño de este blog lo has hecho con un editor de texto y utilizando sólo html y css?
Felicidades está muy bien, me pasaré por aquí de vez en cuando!
Saludos

D4 -

Todas las versiones del SP2 de Windows XP vienen con el nuevo firewall de Microsoft activado por defecto; es más fácil de usar que el antiguo, pero comparándolo con otros (incluso los gratuitos) sale bastante mal parado.

El SP2 no es la panacea, pero conviene instalarlo. Hay que asegurarse de que la máquina está limpia de spyware primero, porque sino es altamente probable que la instalación falle.

Aitor -

Ya está disponible el Windows XP service pack 2 en castellano. Además hay uno para desarrolladores con el firewall de Microsoft. No confíe mucho en él. ¿Hay pruebas al respecto?
¿Y esta publicidad? Puedes eliminarla si quieres