Apple łata dziurę sprzed roku

Koncern Apple zaktualizował odtwarzacz QuickTime dla Windows, łatając w nim lukę wykrytą we 13 miesięcy temu, a przeoczoną - zdaniem obserwatorów - w aktualizacji z marca tego roku.

Najnowszy patch usuwa lukę w QuickTime dla Windows XP i Visty, którą brytyjski badacz, Petko Petkov wykrył we wrześniu 2006 r., a w zeszłym miesiącu opublikował jej kod proof of concept. Badacz twierdził, że Apple nie reaguje na jego zgłoszenia.

Przypomnijmy, iż błąd w aplikacji związany był z obsługiwanym przez odtwarzacz Apple'a formatem Media Link ( pliki .qtl ). Petkov odkrył, że podczas próby uruchomienia osadzonego na stronie WWW "złośliwego" pliku QuickTime nie sprawdza, czy plik ów nie zawiera dodatkowego, niebezpiecznego kodu, np. JavaScript ( więcej informacji: QuickTime i Firefox - niebezpieczna para - http://www.idg.pl/news/123773.html ).

Koncern nadał luce sygnaturę CVE 2007-4673 ( Common Vulnerabilities and Exposure ), czyli zaliczył błąd do powszechnie występujących usterek. Firma potwierdziła jednak wyniki badań Petkova, uznając istnienie problemu możliwego "wstrzykiwania poleceń" przez napastnika wykorzystującego lukę w mechanizmie obsługi linków do plików QTL.

Zdaniem Apple błąd nie występuje w QuickTime dla Mac OS X.

więcej w serwisie Digit »