QuickTime, un bug che si poteva evitare?

Gli esperti di sicurezza stanno analizzando un bug in QuickTime di Apple che potrebbe esporre a gravi rischi sistemi XP o Vista. Oggi è stato rilasciato un bollettino su Secunia, ma alcuni esperti stanno ancora lavorando su ulteriori accertamenti.

Il bug è presente in QuickTime 7.2 e 7.3 (e forse versioni precedenti), e riguarda il protocollo di Real Time Streaming (RTSP), uno standard per lo streaming audio e video.

Secondo gli esperti di Symantec, che hanno dato l’allarme, il bug può essere sfruttato visitando siti web malevoli (o sotto attacco), o convincendo l’utente ad aprire un file QTL in allegato ad una mail.

Krystian Kloskowski, di Symantec, ha dato per primo l’allarme venerdì, mentre sabato un ricercatore anonimo (“InTeL” come nickname) ha risposto con un esempio “proof-of-concept” in grado di funzionare in XP SP2. Un attacco con esito positivo permette di installare nuovo malware, spyware o spambot, o rubare informazioni confidenziali.

La “gaffe” che secondo gli esperti Apple avrebbe commesso risiede nel design del software. Secondo Anthony Roe (sempre di Symantec), questo bug è facilmente sfruttabile sotto Vista, quando si sarebbe potuto evitare sfruttando la nuova funzionalità di Address Space Layout Randomization (ASLR) che è stata implementata in Vista. ASLR permette a Windows Vista di caricare file binari (come QuickTime) in posizioni casuali della memoria, rendendo più difficile per un malintenzionato l’identificazione del codice di QuickTime nella memoria.

QuickTime è uno dei prodotti (come Internet Explore e altri) che richiede una particolare attenzione agli aggiornamenti, in quanto intimamente connesso con il mondo di Internet e dei siti Web. In questo caso si conferma l’importanza della progettazione del software. O si tratta di una mossa di Apple per far migrare gli utenti verso Leopard? ;)