Grossa falla di sicurezza per Quick Time

Lo U.S. Computer Emergency Readiness Team ha reso noto, attraverso un bollettino di sicurezza, che Apple QuickTime soffre di un bug attraverso il quale è possibile l'eseguire di codice malevolo dall'esterno.

La vulnerabilità pare sia dovuta al gestore del protocollo Real Time Streaming Protocol (RTSP) che viene usato per lo streaming di contenuti multimediali. L'invio di un header creato appositamente mal formattato al gestore di RTSP di QuickTime causa un buffer overflow. Causare un errore di questo tipo nello stack della memoria è una delle tecniche più diffuse per eseguire codice malevolo senza nessuna autorizzazione. Uno degli scenari possibili è che l'attacker utilizzi pagine web con link a stream RTSP in modo tale da invogliare l'utente ad avviare l'esecuzione del contenuto.

Stando ai test effettuati dall'US-CERT, tutte le versioni di QuickTime che vanno dalla 4.0 alla 7.3 risultano vulnerabili su tutte le piattaforme Mac e Windows supportate. Ricordiamo inoltre che QuickTime è un componente di Apple iTunes, di conseguenza anche quest'ultimo software risulta affetto dalla vulnerabilità.

Al momento non sono disponibili patch per correggere il bug, tuttavia con alcuni accorgimenti tecnici è possibile aggirare la vulnerabilità e mantenere sicuro il proprio computer. Nel bollettino viene proposto di non accedere a contenuti potenzialmente a rischio; in alternativa è possibile bloccare l'accesso a tali contenuti bloccando il protocollo RTSP con il firewall e disabilitando i plug-in di Internet Explorer e Firefox di QuickTime.

Già lo scorso gennaio, QuickTime aveva avuto un problema analogo a quello segnalato dall'US-CERT. Anche in quel caso il bug riguardava la gestione del protocollo RTSP e, più in particolare, la formattazione dell'URL e non dell'header. Una patch rilasciata da Apple aveva risolto il problema.