Alfonso Maruccia

ActiveX e QuickTime, falla vecchia fa buon brodo

Scovata una nuova vulnerabilità in QuickTime già presente in vecchie versioni del codice sviluppato da Apple. A rischio gli utenti di IE, e neppure Vista e Seven possono farci granché

Roma - L'esperto di sicurezza Ruben Santamarta ha individuato una nuova falla "zero-day" che prende di mira i sistemi operativi Windows. La falla parte da QuickTime di Apple ma ha come bersaglio gli utenti del browser Internet Explorer, passando attraverso il componente ActiveX del player multimediale di Cupertino. Il rischio è aumentato dal fatto che le misure di protezione aggiuntive di Windows Vista e Seven possono essere di fatto bypassate e rese inutili dallo sfruttamento della vulnerabilità.

Un eventuale attacco ideato per sfruttare la falla, avverte Santamarta, non deve far altro che invogliare l'utente a visitare - con Internet Explorer - un sito web appositamente predisposto. Il problema risiede nel codice presente nelle vecchie versioni di QuickTime, codice poi modificato da Apple ma non completamente e che spinge l'esperto a parlare di una vera e propria "backdoor" scientificamente predisposta da Cupertino, piuttosto che un più banale difetto nella programmazione del software.

Con codice adeguatamente realizzato è possibile costringere QuickTime ad accedere a DLL esterne, dice Santamarta, e il peggio è che le funzionalità avanzate di sicurezza implementate nelle versioni più recenti di Windows (Vista & 7) nulla possono contro la "backdoor" di Apple: né Data Execution Prevention (DEP) né Address Space Layout Randomisation (ASLR) riescono a bloccare l'attacco.
In attesa che Apple chiuda la sua backdoor, una buona pratica di prevenzione contro la falla zero-day prevede i soliti consigli di usare un browser diverso da IE e di disabilitare il controllo ActiveX di QuickTime settando l'apposito killbit.

Alfonso Maruccia
Notizie collegate
  • SicurezzaQuickTime 7.4 più sicuro, ma non del tuttoL'ultima versione di QuickTime sistema quattro differenti vulnerabilità di sicurezza, tutte sfruttabili a distanza, ma ancora non corregge una falla piuttosto seria scoperta di recente da un bug hunter italiano
  • SicurezzaPatch per QuickTime, PDF, Java e SkypeSistemate le vulnerabilità di sicurezza piuttosto gravi che erano emerse in alcuni dei software più diffusi per Windows e Mac. A rischio, secondo Secunia, oltre tre quarti dei computer connessi ad Internet
  • SicurezzaIE inciampa su un ActiveX fallatoUna vulnerabilità zero-day contenuta in un controllo, componente di Windows, è già stata sfruttata. A rischio gli utenti di Windows XP. Microsoft ha pronte le prime contromisure
15 Commenti alla Notizia ActiveX e QuickTime, falla vecchia fa buon brodo
Ordina