Apple Quicktime sebek

2007. november 26. 18:28 - Csizmazia Darab István [Rambo]

Újabb sebezhetőségről számolt be a Secunia, amely különösen veszélyes besorolást (extremly critical) kapott.



A távolról kihasználható hiba az RTSP vagyis a Real Time Streaming Protocol révén támadható egy speciálisan félreformázott hosszú "Content type" adatot tartalmazó csomaggal, és az így keletkező puffertúlcsordulás következtében távolról tetszőleges kód végrehajtására nyílik lehetőség. Hol találkozhatunk ilyennel? Elvileg bármely weboldalon, ahol QuickTime videót lehet nézni vagy letölteni. Sok helyen érhetők el videoklipek, mozielőzetesek ilyen formátumben. A hibát a 7.3-as verzió esetében erősítették meg, azonban emellett más korábbi szoftver változatok is érintettek lehetnek mind a Windows, mint pedig a Mac OS X platformon.



Hogyan tovább? Addig is tartózkodjunk a megbízhatatlan linkektől, weboldalaktól és .QTL  állományoktól. Ne használjunk rtsp:// protokollt, ellenőrizzük a tűzfal beállításokat (554 TCP, 6790-6999 UDP portok), kapcsoljuk ki az Internet Explorerben QuickTime ActiveX vezérlőt, és tiltsuk le a JavaScriptet a böngészőben, sőt kapcsoljuk ki teljesen a PC-t és Commodore64 gépen játékkal üssük el azt a hátralévő csekélyke időt, amíg a javítás megjelenik ;-)

És hogy a tét még nagyobb legyen, a sérülékenység kihasználását lehetővé tevő kódok nem csak elvileg léteznek, hanem már meg is jelentek a neten.

Offtopik utóirat:
Mea culpa, revideálom a múltkori erősen dehonesztáló nézeteimet a reklámokról úgy általában. Ha nem kéretlen, mint például a Reklámzabálók Éjszakáján, úgy máris megbocsáthatóbb a dolog, sőt néhány szórakoztatót is láttam, kezdve az archív Cascot akarok kötni...-től kezdve a pár friss darabig (oroszlán a kocsitetőn).



Szóval oké, vannak köztük jópofák, elismerem, csak ne jöjjön kéretlenül, és akkor megnyugszik az én lelkem.
Szólj hozzá!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása