Quicktime rimedia a 7 buchi di sicurezza

È arrivata la nuova versione di Quicktime, la 7.6 che, oltre a migliorare la qualità dei codec, tappa anche ben 7 buchi di sicurezza in grado di permettere l’esecuzione di codice o l’installazione di software da terze parti.

Nella classifica degli attacchi più praticati contro i sistemi Windows XP e Vista nel 2008, le porte che passano attraverso i buchi di Quicktime sono le più praticate in assoluto se si escludono quelle di Windows stesso. Un problema in costante crescita negli ultimi tempi per il quale tutti gli esperti di sicurezza consigliano di aggiornare il prima possibile il proprio software.

Le 7 vulnerabilità che trovano rimedio nell’ultima versione del software Apple non erano note prima del rilascio dell’update e si tratta in tutti i casi di problemi che per essere sfruttati malignamente necessitano che l’utente visiti un determinato sito o apra un certo file multimediale.

I bug riparati spesso avevano a che fare con l’overflow del buffer, in particolare uno sfruttava il modo in cui il software gestisce il Real time stream protocol degli URL, uno il modo in cui si aprono i file AVI, altri come si gestiscono i sistemi di realtà virtuale e le jpeg contenute nei file video e i restanti erano incentrati sull’applicazione dei codec Cinepak, H.263 e MPEG-2 con audio in MP3.

Rimangono comunque preoccupanti le parole di Andrew Storms, direttore della sicurezza di nCircle: «Chiunque guardi video in rete con Quicktime può essere facilmente infettato tramite un solo click. Basta vedere la massa incredibile che pochi giorni fa ha guardato l’insediamento di Obama per capire il potenziale impatto di attacchi simili».

La nuova versione di Quicktime comunque non mette solo pezze a problemi di sicurezza: presenta anche una versione migliorata del codec H.264, specialmente nella modalità single pass, ed inoltre migliora l’affidabilità della riproduzione delle Motion Jpeg e la fedeltà delle tracce audio AAC e MPEG.