QuickTime bucabile via streaming

Il player di Apple contiene una vulnerabilità legata alla gestione dei flussi video online trasmessi attraverso il protocollo RSTP. La falla è attualmente aperta, e sulla Rete circola già un exploit pubblico

Roma – Aprire flussi video online con QuickTime potrebbe non essere prudente in questo periodo. Sul sito milw0rm.com è infatti stato pubblicato un exploit capace di sfruttare una vulnerabilità di QuickTime che, nel momento in cui si scrive, non è ancora stata corretta.

La falla, che Secunia valuta di importanza “extremely critical”, è causata da un buffer overflow nel codice di QuickTime che gestisce il protocollo Real Time Streaming Protocol ( RTSP ), ed in particolare l’header Content-Type . Un malintenzionato potrebbe sfruttare la debolezza inducendo un utente a cliccare su di un flusso RSTP che, una volta aperto, causa il crash del player ed esegue del codice dannoso.

“Un aggressore può utilizzare vari tipi di vettore per far sì che l’utente apra un flusso RSTP, incluso un file QuickTime Media Link”, si legge in questo advisory di US-CERT.

In attesa che Apple rilasci una versione aggiornata del proprio player, US-CERT ha pubblicato nel proprio advisory una serie di soluzioni temporanee per scongiurare brutte sorprese. In generale, tuttavia, dovrebbe essere sufficiente non aprire link del tipo “rtsp://” che provengano da fonti sconosciute o inaffidabili, oppure associare il protocollo RSTP ad un player diverso da QuickTime.

L’hacker che ha scoperto il bug, noto come “h07”, ne ha verificato l’esistenza in QuickTime 7.3 e 7.2 per Windows XP e Vista. Al momento non è chiaro se la falla esista anche nelle versioni per Mac OS X e se, in tal caso, gli utenti Mac corrano dei rischi.

Come si è detto, ancora non esiste una patch: non appena disponibile, questa verrà integrata in una versione aggiornata di QuickTime scaricabile dal sito di Apple o attraverso la funzionalità di aggiornamento automatico integrata nel player.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Umberto scrive:
    Esiste già
    Esiste già qualcosa di simile, senza tutti gli orpelli. Alcuni produttori di antifurto nostrani, che esportano in tutto il mondo, vendono già dei sistemi simili, anche se meno invasivi. Si arriva al punto che, se la macchina viene rubata ma senza il trsponder in possesso del legitimo proprietario, non appena la macchina si allontana dal raggio dello stesso, appena si ferma, non riparte più.Sistemi satellitari per il controllo della posizione dei mezzi li usano tutti i gestori di flotte, soprattutto per veicoli pesanti, che indicano percorsi, velocità, posizione, ecc..Ci sono poi un sacco di sistemi antifurto (Viasat, GT Auto Alarm, Cobra, ecc.) che producono sistemi con caratteristiche similari.
  • toOl scrive:
    Quale sarebbe il problema?
    Sono un assiduo lettore di Punto Informatico e generalmente apprezzo il tono degli articoli, e tra questi, ovviamente, quelli a difesa della privacy e del diritto di ognuno di avere una propria sfera personale inviolabile.In questa situazione trovo pero' che la posizione dell'articolo nell'andare contro a tecnologie che possono potenzialmente salvare delle vite, piu' che rovinarne a causa della mancanza di privacy, sia un po' troppo "estremista".In fondo siamo sempre a lamentarci che esistono leggi che non vengono pero' fatte rispettare: monitorare la velocita' o il (pessimo) stile di guida di molti autisti lo trovo un modo efficiente e mirato per evitare certi comportamenti che, onestamente, quando si verificano sulle strade sono a dir poco fastidiosi, se non decisamente pericolosi.Per non parlare di altri potenziali benefici, come l'elemento deterrente per quanto riguarda furti e crimini in genere.Non mi sembra che monitorare il comportamento sulla strada di un dipendente equivalga a mettere il naso nella sua cartella clinica, nel suo conto corrente online, o nelle abitudini sessuali... o mi sbaglio?
    • Marco scrive:
      Re: Quale sarebbe il problema?
      Sono d'accordo,penso anche io che uno strumento del genere, salva la necessità di evitarne gli abusi, potrebbe anche essere utile.In Italia, comunque, l'adozione di questo sistema dovrebbe fare i conti con lo statuto dei lavoratori e la legge sul trattamento dei dati.
    • A O scrive:
      Re: Quale sarebbe il problema?
      - Scritto da: toOl[...]il "problema" è che esiste la Statuto dei Lavoratori...e tutta una serie di norme e giurisprudenza conseguenti...qualcuno ha presente? è informato?consiglio di leggerlo e di informarsi...poi magari ne riparliamo
    • Anonimo Torinese scrive:
      Re: Quale sarebbe il problema?
      - Scritto da: toOl

      In questa situazione trovo pero' che la posizione
      dell'articolo nell'andare contro a tecnologie che
      possono potenzialmente salvare delle vite, piu'
      che rovinarne a causa della mancanza di privacy,
      sia un po' troppo "estremista".

      In fondo siamo sempre a lamentarci che esistono
      leggi che non vengono pero' fatte rispettare:
      monitorare la velocita' o il (pessimo) stile di
      guida di molti autisti lo trovo un modo
      efficiente e mirato per evitare certi
      comportamenti che, onestamente, quando si
      verificano sulle strade sono a dir poco
      fastidiosi, se non decisamente
      pericolosi.Un esempio di come questo genere di leggi e prodotti liberticidi agisce sul mercato lo ha dato la normativa europea sull'aviazione. Negli Stati Uniti ci sono 1.2 morti per ogni 100,000 cicli (decollo/volo/atterraggio).In europa, prima della nuova normativa erano 8,2.Dopo cinque anni della nuova normativa (che introduce un enorme aggravio di burocrazia "per aumentare la sicurezza") siamo saliti a 8,7.E come se non bastasse, l'aggravio di costi dovuti per lo più agli inutili adempimenti previsti ha fortemente ridotto il numero di ore volate (dai privati). In Italia si è dimezzato.Dare agli stessi burocrati europei il potere di decidere con più efficacia come ci si deve comportare alla guida avrebbe lo stesso effetto. Tutti a 50 all'ora, anche dove non serve. "Per la sicurezza". Salvo poi non avere alcun beneficio. Solo danni. Solo disastri. Solo controllo. Solo altro potere e altri abusi. Solo altri fastidi per tutti.IMHO, of course.
  • Gris scrive:
    Vite umane salvate
    Ci sarebbero meno incidenti causati dai mezzi pesanti... e salvare delle vite umane, vale ben un pó di privacy in meno...
    • SirParsifal scrive:
      Re: Vite umane salvate

      Ci sarebbero meno incidenti causati dai mezzi
      pesanti... e salvare delle vite umane, vale ben
      un pó di privacy in
      meno...Quoto.Lo renderei obbligatorio in ogni veicolo... sai quante truffe alle assicurazioni e quanti pirati della strada in meno?
  • Martino Sykora scrive:
    Alternative opensource?
    Ciao. Sono interessato ad un'eventuale alternativa opensource. Qualcuno mi sa aiutare?Grazie
Chiudi i commenti