Apple łata dziurę sprzed roku

Koncern Apple zaktualizował odtwarzacz QuickTime dla Windows, łatając w nim lukę wykrytą we 13 miesięcy temu, a przeoczoną - zdaniem ekspertów - w aktualizacji z marca tego roku.

Najnowszy patch usuwa lukę w QuickTime dla Windows XP i Visty, którą brytyjski badacz, Petko Petkov wykrył we wrześniu 2006 r., a w zeszłym miesiącu opublikował jej kod proof of concept. Badacz twierdził, że Apple nie reaguje na jego zgłoszenia.

Przypomnijmy, iż błąd w aplikacji związany był z obsługiwanym przez odtwarzacz Apple'a formatem Media Link (pliki .qtl). Petkov odkrył, że podczas próby uruchomienia osadzonego na stronie WWW "złośliwego" pliku QuickTime nie sprawdza, czy plik ów nie zawiera dodatkowego, niebezpiecznego kodu, np. JavaScript (więcej informacji: QuickTime i Firefox - niebezpieczna para).

Koncern nadał luce sygnaturę CVE 2007-4673 (Common Vulnerabilities and Exposure), czyli zaliczył błąd do powszechnie występujących usterek. Firma potwierdziła jednak wyniki badań Petkova, uznając istnienie problemu możliwego "wstrzykiwania poleceń" przez napastnika wykorzystującego lukę w mechanizmie obsługi linków do plików QTL.

Zdaniem Apple błąd nie występuje w QuickTime dla Mac OS X.


Zobacz również