QuickTime: очередная угроза Windows и Mac

"Неприхотливая" в эксплуатации уязвимость безопасности в медаплеере QuickTime может подвергнуть миллионы пользователей Mac и Windows угрозе нападения. Новая ошибка QuickTime была публично раскрыта 1 января как часть проекта "Month of Apple Bugs", запущенного хакером с ником LMH, который в течение января ежедневно будет раскрывать по одной уязвимости в продуктах Apple. В прошлом месяце подобный "месяц уязвимостей" действовал для ядра Windows.

Согласно консультационному листу, опубликованному хакером, ошибка эксплуатируется при обработке плеером специальным образом созданного URL "rtsp://". Согласно сведениям хакера, "использование файлов HTML, Javascript или QTL как вектора нападения ведет к возможности удаленного запуска на исполнение произвольного кода". Хакер называет ошибку "тривиальной" и предупреждает, что использование функции NX (защиты областей памяти при переполнении буфера) здесь бесполезно. LMH сообщил, что уязвимость была успешно протестирована на QuickTime Player 7.1.3, но ранние версии, по его словам, тоже подвержены нападению через эту ошибку. Причем она касается как Microsoft Windows, так и Mac OS X.

QuickTime – весьма популярная платформа для работы со звуками, видео, текстом и графикой. Неудивительно, что именно этот плеер может стать "лакомым куском пирога" для хакером. Естественно, если Microsoft и Apple не предпримут оперативных мер. Впрочем, практика показала, что в случае наличия действительно серьезной угрозы Apple не замедлит среагировать.