Risolte quattro vulnerabilità e tre problemi di sicurezza. Rimane il bug sulla gestione del protocollo RTSP.
Apple ha comunicato di aver risolto quattro vulnerabilità in QuickTime oltre a tre problemi di sicurezza nell’iPhone e nell’iPod Touch.
Le quattro falle sanate nel riproduttore multimediale QuickTime sono state indicate da Apple come molto pericolose perché sfruttabili, da parte di aggressori, per eseguire codice dannoso. Apple non cataloga le vulnerabilità scoperte nei propri prodotti, così come invece fa Microsoft, utilizzando una particolare scala. Ad ogni modo, tutti i problemi di sicurezza ora risolti possono essere considerati “critici”.
Nessuna della patch rilasciate risolve però la vulnerabilità segnalata nei giorni scorsi dal ricercatore italiano Luigi Auriemma e che è legata alla gestione del protocollo RTSP (“Real-Time Streaming Protocol”).
Andrew Storms, di nCircle Inc., ha commentato: “il codice zero-day in grado di far leva sulla vulnerabilità RTSP resta sempre disponibile in Rete e richiede un livello di competenza tecnica relativamente modesto per poter essere sfruttato”.
Storms osserva come tutte le vulnerabilità risolte con il rilascio di QuickTime 7.4 riguardano i parser del riproduttore multimediale ossia quei componenti che si incaricano di leggere un insieme di dati in ingresso in modo da determinarne la loro struttura e la loro correttezza formale. “Non è, questa, una sorpresa. Si tratta di problemi con i quali sia Apple che Microsoft sono state costrette a battagliare per anni. Questi tipi di vulnerabilità continuano a rappresentare una minaccia e vengono oggi sfruttati in attacchi lato-client in fase di gestione di contenuti multimediali. Sono ottimi metodi per la diffusione di malware”, ha commentato Storms.
Apple ha rilasciato anche il primo aggiornamento dell’anno per l’iPhone. Il nuovo firmware 1.1.3 mette una pezza a tre problematiche riguardanti il browser Safari e la funzionalità “Passcode Lock” che permette di impedire l’esecuzione di un programma nel caso in cui non venga digitato uno speciale codice di sblocco.
Secondo i tecnici dell’azienda di Steve Jobs solamente una di queste vulnerabilità potrebbe essere sfruttata per eseguire codice in modo arbitrario. Le altre due falle potrebbero invece consentire l’accesso alle applicazioni “bloccate” da parte di utenti non autorizzati oppure rendere note informazioni personali in attacchi di tipo “cross-site scripting”. Le patch destinate all’iPhone si applicano anche all’iPod Touch.