QR code per la pagina originale

Bug di Quicktime pone seri rischi

Ha quasi un anno la scoperta della vulnerabilità presente in Quicktime. L'exploit, se eseguito, può consentire la loro totale compromissione del sistema passando per il browser. Nonostante il pericolo, però, Apple non è ancora intervenuta

,

È arrivata la conferma anche direttamente da Mozilla del fatto che è in circolazione un exploit in grado di sfruttare una vulnerabilità di Quicktime che, se eseguito attraverso i browser, permette all’intrusore di prendere il controllo totale del sistema.

La falla fu scoperta ben un anno fa da Petko D. Petkov, che il 12 settembre del 2006 mise in rete il codice già testato in grado di dimostrare come attraverso i formati leggibili da Quicktime si potesse raggiungere il totale controllo del computer passando attraverso il browser. La vulnerabilità è stata dunque notificata all’epoca alla Apple assieme ad altri problemi simili. Eppure nonostante il rilascio di diverse patch, che hanno ovviato agli altri problemi, il bug di Quicktime non è stato risolto, così ora ad un anno di distanza ancora è un problema.

Il bug ha a che vedere con la natura versatile di Quicktime in grado di supportare diversi formati: di qui deriva il fatto che il software consente l’esecuzione di codice maligno sotto forma di javascript. «Praticamente posso fare qualsiasi cosa con il browser, come installare backdoors e prendere il controllo del sistema operativo se la vittima ha i privilegi da amministratore» sono le ultime parole di avvertimento arrivate da Petkov, il quale consiglia a tutti gli utilizzatori di Firefox di munirsi dell’estensione NoScript che inibisce l’esecuzione di codice non sicuro.

Ad ogni modo non tutti concordano con la teoria di Petkov, sostenendo di non aver riscontrato il problema in molti casi con altri browser come Opera o con altri sistemi operativi come Mac Os X.

Se Apple piange, Microsoft non ride: l’unica vulnerabilità “critica” corretta con gli ultimi aggiornamenti di settembre è infatti nel mirino di un exploit partorito a sole 24 ore dalla pubblicazione della relativa patch.

Notizie su: