Nonostante gli aggiornamenti, QuickTime continua ad essere vulnerabile

Nonostante gli aggiornamenti, QuickTime continua ad essere vulnerabile

Una nuova vulnerabilità legata al protocollo RTSP rischia di compromettere la sicurezza degli utenti Windows e Mac

di pubblicata il , alle 08:59 nel canale Sicurezza
WindowsMicrosoft
 

Con gli aggiornamenti rilasciati lo scorso Martedì, Apple ha corretto alcune falle presenti nei software per iPod Touch, iPhone e QuickTime. Gli aggiornamenti tuttavia non hanno corretto una nuova vulnerabilità legata all'ormai noto protocollo Real Time Stream Protocol (RTSP).

Gli aggiornamenti riguardanti l'ìPod Touch e l'iPhone hanno corretto 3 vulnerabilità che riguardavano il browser Safari e il Passcode Lock dell'iPhone.

Con l'aggiornamento a QuickTime, la compagnia di Cupertino ha provveduto a correggere ben 4 vulnerabilità, tutte legate a problemi di parsing e di gestione dei file. La versione 7.4 di QuickTime, tuttavia, non corregge un'importante falla scoperta dall'italiano Luigi Auriemma.

Secondo quanto riportato nella nota dell'US-CERT, Apple QuickTime soffre di una vulnerabilità di buffer overflow causata dal modo in cui vengono gestiti i messaggi di risposta del protocollo RTSP. In presenza di alcuni codici di stato generati dal protocollo, QuickTime mostra determinate "Reason-Phrase" per spiegare cosa sta succedendo. Sfruttando una Reason Phrase creata appositamente è possibile causare un buffer overflow e prendere il controllo del sistema.

In modo analogo a quanto succedeva con una precedente vulnerabilità, sempre legata ad un bug del protocollo RTSP, per sfruttare l'exploit è sufficiente convincere un utente di QuickTime ad eseguire uno stream RTSP opportunamente modificato.

L'US-CERT propone come soluzione temporanea di disinstallare QuickTime e disabilitare il protocollo RTSP, almeno finché non sarà disponibile una patch che risolva il problema.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

22 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
monsterman18 Gennaio 2008, 09:31 #1
Quick time l'ho sempre considerato un inutile tentativo di imporre un programma per poter vedere i filmati così come itunes lo è per la musica. Per fortuna esiste di meglio (chi ha detto vlc?) di sto coso bucato
dwfgerw18 Gennaio 2008, 09:33 #2
E poi c'e' chi critica m$
adz18 Gennaio 2008, 09:36 #3
programma odioso...con installazione forzata con itunes... uso programmi alternativi e quelli tutti nel cestino..
exec18 Gennaio 2008, 09:42 #4
allora non è più ne meno che un programma come tanti. A mio parere è leggero, intuitivo e funzionante. ovvio che vlc è tutt'altro mondo, ma non degraderei così quicktime solo perchè "sei forzato a installarlo" o perchè tentano imporlo (ti imporanno comunque solo l'installazione , ma non ti impongono di usarlo come unico lettore per un tipo di files ...)
mizard18 Gennaio 2008, 09:45 #5
Quicktime non credo imponga niente. E' il player per il formato proprietario .mov di Apple. Esattamente come, per esempio, real player lo è per i pacchetti .rm. Se poi uno vuole usare altri player (migliori), è libero di farlo (come anche aggiungere altri formati a quicktime che, di suo, non ne legge tanti).

Sulla vulnerabilità non mi pronuncio, anche perché non so cosa faccia RTSP...
ramarromarrone18 Gennaio 2008, 09:45 #6
quando usavo windows l'ho usato qualche volta e non mi è mai piaciuto, a parte l'installazione obbligata di itunes, era lentissimo(magari era un problema mio eh.).
per chi usa windows piuttosto è meglio media player, per chi usa linux il player di default non è malaccio anche se per me il migliore è VLC, legge tutto, è veloce a caricare e non mi ha mai dato problemi...
Lelevt18 Gennaio 2008, 09:49 #7
Mamma mia, Qicktime è uno dei programmi che detesto di più, lo installo sul mio PC solo sotto tortura ripetuta...

Mi insozza il PC come un secchio di vernice rossa su un vestito da sposa bianco...
faber8018 Gennaio 2008, 10:24 #8
si, vlc è un buon player, legge la qualsiasi, e mi son trovato anche bene (meglio per alcuni aspetti) con Gom...tuttavia ho notato che entrambi usano decodifiche un pò pesanti con i filmati mkv (hd), ed ho optato per i k-lite, col loro media player scarno....che legge praticamente tutto e con fluidità anche nei film in hd 1080
Rubberick18 Gennaio 2008, 10:26 #9
e se posso permettermi nonostante gli aggiornamenti e' sempre + pesante...

=| ma anche su mac mi trasferisce questo senso...

che ci vuole ad allegerirlo un po'!
Leron18 Gennaio 2008, 10:31 #10
Originariamente inviato da: monsterman
Quick time l'ho sempre considerato un inutile tentativo di imporre un programma per poter vedere i filmati così come itunes lo è per la musica. Per fortuna esiste di meglio (chi ha detto vlc?) di sto coso bucato


quicktime è uno dei più usati nel videomontaggio e supporta uno dei formati di encoding considerato il migliore come rapporto compressione/qualità

qt non è solo un player

e su mac QT è una favola (ci mancherebbe)

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^