È passata una settimana da quando una grave vulnerabilità di Quicktime è venuta a galla nell’ambito di un contest organizzato per evidenziare il necessario impegno di Apple nella sicurezza dei propri sistemi. La vulnerabilità era stata accreditata a Dino Dai Zovi, il quale grazie alla scoperta conseguita ha potuto prendere controllo (ed in seguito possesso) del MacBook che la CanSecWest conference chiedeva di attaccare per ambire ai 10.000 dollari in palio. Sfida vinta, premio incassato.
La vulnerabilità, però, è rimasta aperta. Da più parti si è evidenziato come il mondo Apple non costituisca ancora un mercato appetibile per l’industria del malware e la cosa sia stata per l’ennesima volta dimostrata dal fatto che nessun codice di exploit sia stato distribuito prima della risoluzione del problema. La patch relativa giunge ora a una settimana dalla comunicazione del bug, settimana passata però senza particolari rischi. Vista l’eco che ha circondato il caso, Apple ha voluto forzare i tempi e correggere quanto prima il problema, cogliendo così l’occasione per ribadire il proprio impegno e le proprie qualità nel contesto della sicurezza dei propri sistemi.
Secunia aveva giudicato come altamente critica la pericolosità della vulnerabilità di Quicktime. La patch è in distribuzione tramite servizio di update automatico ed è altresì raggiungibile attraverso download manuale. La patch è inoltre accompagnata da una rivisitazione dell’ultimo Security Update 2007-004: la versione 1.1 corregge alcune imperfezioni della release precedente mettendo mano soprattutto ad Airport ed ai parametri di sicurezza del servizio Apple FTPServer.