Apple ha rilasciato questa notte l’atteso aggiornamento che chiude un preoccupante bug presente in QuickTime grazie al quale sarebbe stato possibile attaccare un Mac (o un computer Windows) eseguendo codice arbitrario. L’update che porta QuickTime alla versione 7.3.1 opera sul RealTime Streaming Protocol che essendo parzialmente difettoso poteva portare ai problemi appena descritti.
Questo bug era stato segnalato da diverse società che si occupano di sicurezza; alcune di esse, come Symantec, aveva anche notato la presenza in rete di alcuni proof of concept, file d’esperimento, che sfruttavano il buco. In almeno un caso era stato anche segnalato un sito compromesso da un cavallo di troia che si basava su questa vulnerabilità .
Oltre al bug nel protocollo RTSP, l’aggiornamento sicurezza fa fronte ad un altro bug che poteva, grazie a file forgiati ad hoc, portare al crash di un’applicazione o all’esecuzione di codice arbitrario. L’ultimo buco chiuso dall’aggiornamento è nel Flash media handler che viene disabilitato di default vista la presenza di diversi bug di sicurezza. Ora il media handler opera solo con pochi file riconosciuti come sicuri.
Per scaricare l’aggiornamento usare il “Aggiornamento software” oppure passare dalla pagina ad hoc degli update di Apple dove sono presenti versioni per Leopard, Tiger e Panther (Mac Os 10.5, 10.4 e 10.3) e per Windows.
