Con il primo Security Update dell’anno, negli scorsi giorni Apple ha corretto una severa vulnerabilità che affligge le versioni Mac e Windows del proprio player QuickTime.
La falla era stata scoperta all’inizio del mese dall’esperto di sicurezza Kevin Finisterre e pubblicata nel suo blog Month of Apple Bugs . Il problema consiste nella presenza di un buffer overflow nel codice di QuickTime che gestisce gli URL di tipo RTSP (Real Time Streaming Protocol). Inducendo un utente ad aprire un file multimediale maligno, un cracker potrebbe approfittare della breccia per eseguire del codice a propria scelta ed arrivare eventualmente a controllare la macchina remota.
Una sintesi della vulnerabilità è stata pubblicata in questo advisory di SANS Institute.
In questi giorni Cisco è dovuta intervenire per correggere tre falle in IOS , il proprio sistema operativo utilizzato in switch e router. La vulnerabilità più grave potrebbe essere sfruttata da un aggressore per lanciare attacchi di denial of service (DoS) e, potenzialmente, eseguire del codice da remoto.
Le altre due falle possono invece essere utilizzate solo per attacchi DoS.
Sul problema di sicurezza di IOS si veda l’ advisory ufficiale di Cisco, contenente anche i link alle patch, e questo advisory di FrSIRT.