Nonostante gli aggiornamenti, QuickTime continua ad essere vulnerabile

di Fabio Gozzo, pubblicata il 18 Gennaio 2008, alle 08:59 nel canale Sicurezza

“Una nuova vulnerabilità legata al protocollo RTSP rischia di compromettere la sicurezza degli utenti Windows e Mac ”

Con gli aggiornamenti rilasciati lo scorso Martedì, Apple ha corretto alcune falle presenti nei software per iPod Touch, iPhone e QuickTime. Gli aggiornamenti tuttavia non hanno corretto una nuova vulnerabilità legata all'ormai noto protocollo Real Time Stream Protocol (RTSP).

Gli aggiornamenti riguardanti l'ìPod Touch e l'iPhone hanno corretto 3 vulnerabilità che riguardavano il browser Safari e il Passcode Lock dell'iPhone.

Con l'aggiornamento a QuickTime, la compagnia di Cupertino ha provveduto a correggere ben 4 vulnerabilità, tutte legate a problemi di parsing e di gestione dei file. La versione 7.4 di QuickTime, tuttavia, non corregge un'importante falla scoperta dall'italiano Luigi Auriemma.

Secondo quanto riportato nella nota dell'US-CERT, Apple QuickTime soffre di una vulnerabilità di buffer overflow causata dal modo in cui vengono gestiti i messaggi di risposta del protocollo RTSP. In presenza di alcuni codici di stato generati dal protocollo, QuickTime mostra determinate "Reason-Phrase" per spiegare cosa sta succedendo. Sfruttando una Reason Phrase creata appositamente è possibile causare un buffer overflow e prendere il controllo del sistema.

In modo analogo a quanto succedeva con una precedente vulnerabilità, sempre legata ad un bug del protocollo RTSP, per sfruttare l'exploit è sufficiente convincere un utente di QuickTime ad eseguire uno stream RTSP opportunamente modificato.

L'US-CERT propone come soluzione temporanea di disinstallare QuickTime e disabilitare il protocollo RTSP, almeno finché non sarà disponibile una patch che risolva il problema.



Commenti (22)

Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - Info
Per contattare l'autore del pezzo, così da avere una risposta rapida, si prega di utilizzare l'email personale (vedere in alto sotto il titolo). Non è detto che una domanda diretta inserita nei commenti venga verificata in tempi rapidi. In alternativa contattare la redazione a questo indirizzo email.
Commento # 1 di: monsterman pubblicato il 18 Gennaio 2008, 09:31
Quick time l'ho sempre considerato un inutile tentativo di imporre un programma per poter vedere i filmati così come itunes lo è per la musica. Per fortuna esiste di meglio (chi ha detto vlc?) di sto coso bucato
Commento # 2 di: dwfgerw pubblicato il 18 Gennaio 2008, 09:33
E poi c'e' chi critica m$
Commento # 3 di: adz pubblicato il 18 Gennaio 2008, 09:36
programma odioso...con installazione forzata con itunes... uso programmi alternativi e quelli tutti nel cestino..
Commento # 4 di: exec pubblicato il 18 Gennaio 2008, 09:42
allora non è più ne meno che un programma come tanti. A mio parere è leggero, intuitivo e funzionante. ovvio che vlc è tutt'altro mondo, ma non degraderei così quicktime solo perchè "sei forzato a installarlo" o perchè tentano imporlo (ti imporanno comunque solo l'installazione , ma non ti impongono di usarlo come unico lettore per un tipo di files ...)
Commento # 5 di: mizard pubblicato il 18 Gennaio 2008, 09:45
Quicktime non credo imponga niente. E' il player per il formato proprietario .mov di Apple. Esattamente come, per esempio, real player lo è per i pacchetti .rm. Se poi uno vuole usare altri player (migliori), è libero di farlo (come anche aggiungere altri formati a quicktime che, di suo, non ne legge tanti).

Sulla vulnerabilità non mi pronuncio, anche perché non so cosa faccia RTSP...
Commento # 6 di: ramarromarrone pubblicato il 18 Gennaio 2008, 09:45
quando usavo windows l'ho usato qualche volta e non mi è mai piaciuto, a parte l'installazione obbligata di itunes, era lentissimo(magari era un problema mio eh.).
per chi usa windows piuttosto è meglio media player, per chi usa linux il player di default non è malaccio anche se per me il migliore è VLC, legge tutto, è veloce a caricare e non mi ha mai dato problemi...
Commento # 7 di: Lelevt pubblicato il 18 Gennaio 2008, 09:49
Mamma mia, Qicktime è uno dei programmi che detesto di più, lo installo sul mio PC solo sotto tortura ripetuta...

Mi insozza il PC come un secchio di vernice rossa su un vestito da sposa bianco...
Commento # 8 di: faber80 pubblicato il 18 Gennaio 2008, 10:24
si, vlc è un buon player, legge la qualsiasi, e mi son trovato anche bene (meglio per alcuni aspetti) con Gom...tuttavia ho notato che entrambi usano decodifiche un pò pesanti con i filmati mkv (hd), ed ho optato per i k-lite, col loro media player scarno....che legge praticamente tutto e con fluidità anche nei film in hd 1080
Commento # 9 di: Rubberick pubblicato il 18 Gennaio 2008, 10:26
e se posso permettermi nonostante gli aggiornamenti e' sempre + pesante...

=| ma anche su mac mi trasferisce questo senso...

che ci vuole ad allegerirlo un po'!
Commento # 10 di: Leron pubblicato il 18 Gennaio 2008, 10:31
Originariamente inviato da: monsterman
Quick time l'ho sempre considerato un inutile tentativo di imporre un programma per poter vedere i filmati così come itunes lo è per la musica. Per fortuna esiste di meglio (chi ha detto vlc?) di sto coso bucato


quicktime è uno dei più usati nel videomontaggio e supporta uno dei formati di encoding considerato il migliore come rapporto compressione/qualità

qt non è solo un player

e su mac QT è una favola (ci mancherebbe)
« Pagina Precedente     Pagina Successiva »
Devi effettuare il login per poter commentare
La discussione è consultabile anche qui, sul forum.