Roma – Una grave falla di sicurezza affligge il componente ActiveX di QuickTime 5.0.2 utilizzato per inglobare flussi audio/video all’interno di pagine Web.
Nell’ advisory pubblicato dalla società di sicurezza @stake si apprende che alla base della vulnerabilità vi è un buffer overrun: questo potrebbe essere sfruttato da eventuali aggressori per eseguire, attraverso pagine Web malevole, codice arbitrario sul computer della vittima. Il bug interessa unicamente le piattaforme Windows NT/2000/XP.
Apple, che ha già lavorato sul problema, ha corretto il bug a partire dalla nuova versione 6 di QuickTime. Per questa ragione ora la casa della mela esorta gli utenti della versione Windows del proprio player ad aggiornare quanto prima il loro vecchio player alla nuova versione. Anche i siti Web che ospitano il file qtplugin.cab dovrebbero, secondo @stake, assicurarsi che questo sia aggiornato alla nuova versione 6.
Gli esperti di sicurezza di @stake sostengono che la vulnerabilità può essere sfruttata da un cracker sia attraverso una pagina Web che una e-mail HTML: per questo motivo suggeriscono agli utenti di non aprire pagine o allegati di posta che provengano da fonti sconosciute.
In passato i media player sono spesso stati usati dai cracker per distibuire codici malevoli e penetrare sui sistemi degli utenti. Proprio di recente è stato scoperto un bug simile a quello sopra descritto nel RealPlayer 8.
Ti potrebbe interessare
13 set 2002