Quicktime-update dicht Microsoft-vondsten
De nieuwste update voor Quicktime dicht 12 gaten, waarvan 5 ontdekt door securityresearchers in dienst van Microsoft. Op één na zijn ze allemaal gemeld via HP's Zero-Day Initiative.
De Software Update-tool van Apple biedt nu een update aan voor multimediasoftware Quicktime. De nieuwste versie 7.7.4 daarvan dicht in totaal twaalf gaten, die allemaal van toepassing zijn op Windows 7, Vista en XP met service pack 2 (SP2) of hoger. De kwetsbaarheden in de vorige Quicktime-versie maken het mogelijk om de applicatie te laten crashen en dan eigen code te laten uitvoeren.
Op afstand te misbruiken
Deze aanvallen, die ook op afstand mogelijk is, worden dan uitgevoerd met specifiek aangemaakte bestanden. Daaronder naast malafide filmbestanden ook mp3's, TeXML-bestanden en enkele andere bestandsformaten. Apple bedankt in de release notes security-onderzoekers Tom Gallagher en Paul Bates die beide in dienst zijn bij Microsoft.
Zij hebben net als de andere gatenontdekkers voor deze Quicktime-patch van Apple hun vondsten gemeld via HP's Zero Day Initiative, een meldingsprogramma voor kwetsbaarheden. Één gat dat de Quicktime-update nu dicht, is langs andere weg bekend geworden: via het Vulnerability Contributor Program (VCP) van iDefense Labs.
Quicktime als doelwit
Apple's Quicktime, dat automatisch meekomt met iTunes, is volgens HP's securitydivisie TippingPoint het nieuwe doelwit voor malwaremakers. Voor deze software is afgelopen jaar het grootste aantal 0-day gaten gemeld bij TippingPoints ZDI. Quicktime loopt in de ZDI-meldingslijst over 2012 nog voor op ActiveX (van Microsoft) en Java (van Oracle).
Bron: Webwereld.nl