Sikkerhetsselskapet Secunia melder om at det er blitt funnet en sårbarhet i Apples Quicktime-program som kan utnyttes av ondsinnede til å kompromittere en brukers system.
Sårbarheten skyldes en ikke-kontrollert buffer i forbindelse med håndteringen av RTSP-besvarelser og kan utnyttes til å forårsake en buffer-overflytsfeil ved for eksempel å sende et spesielt sammensatt svar som inneholder en for lang verdi på "Reason-Phrase".
Vellykket utnyttelse kan åpne for kjøring av vilkårlig kode, men krever at brukeren narres til å åpne en ondsinnet QTL-fil eller besøker et ondsinnet nettstedet.
Sårbarheten skal finnes i versjon 7.3.1.70, men også andre versjoner kan være berørt.
Mer informasjon om sårbarheten finnes her.
Les også:
- [22.01.2009] Alvorlige sårbarheter fjernet fra Quicktime
- [10.06.2008] Enda en sikkerhetfiks til Quicktime
- [16.01.2008] Apple fjerner Quicktime-sårbarheter
- [14.12.2007] Nye alvorlige sårbarheter i Quicktime
- [27.11.2007] Angrepskode til Quicktime offentliggjort
Det danske sikkerhetsselskapet CSIS kåret nettopp Quicktime til den største, isolerte sikkerhetsrisikoen i 2007.