Tratto dallo speciale:

Pericoloso bug nella libreria QuickTime di Apple

di Massimo Rabbi

Pubblicato 28 Gennaio 2010
Aggiornato 30 Maggio 2022 17:47

logo PMI+ logo PMI+
Pericoloso buffer overflow affligge la libreria QuickTime di Apple: la vulnerabilità riguarda QuickTime e iTunes ma anche altri programmi.

L’Internet Storm Center di SANS ha segnalato nei giorni scorsi la scoperta di un pericoloso buffer overflow che affligge la libreria QuickTime di Apple.

La notizia ripresa dal blog di Offensive Security riguarda la pubblicazione di un advisory su Exploit-Db che mette in luce le problematiche di gestione dei file.mov ad opera della libreria QuickTime.

L’autore del PoC (Proof of Concept), Dr_IDE, ha evidenziato come questa vulnerabilità riguardi in primis i vari QuickTime e iTunes, ma anche altri programmi in grado di leggere i file.mov, mediante la libreria di Apple.

Il team di Offensive Security ha testato e verificato che il problema è presente nelle versioni Windows e Mac OS X di iTunes e QuickTime.

Inoltre come si può vedere nella relativa segnalazione presente su SecurityFocus, la falla interessa anche l’ultima versione di QuickTime,ovvero la 7.6.5.

A conferma di ciò anche i commenti di un utente alla notizia apparsa su SANS, che conferma di essere riuscito a far crashare le versioni di QuickTime 7.6.5 e iTunes 9.0.2.25 (le ultime disponibili stando all’Apple Software Update) su un sistema Windows 7 Ultimate con l’UAC in configurazione di default, utilizzando proprio il PoC.

I test effettuati su Windows Media Player non hanno mandato in crash il software, ma semplicemente il player mostra uno schermo nero, visto che non c’è alcun video da visualizzare.

Come lo stesso Dr_IDE ha scritto nell’advisory questa vulnerabilità riguarda applicazioni che vengono registrate di default per l’apertura di file.mov, e quindi non c’è bisogno di alcun tipo di “inganno” per forzare l’utente ad usare il programma o compiere determinate operazioni: è sufficiente un video appositamente modificato.

Il fatto poi che la visione dei filmati è spesso, per configurazione “embedded” nei browser, apre nuovi scenari per attacchi sia locali che remoti: Dr_IDE è infatti convinto che con un po’ di lavoro sia possibile infatti attuare l’injection ed esecuzione di codice.