Dziura w QuickTime'ie umożliwia wprowadzanie trojanów

W blogu Gnucitizen Petko D. Petkov (pdp) ostrzega przed luką w zabezpieczeniach w oferowanym przez Apple'a programie QuickTime. Za jej pomocą napastnik używający zmanipulowanych plików, stron lub załączników w e-mailach może doprowadzić do wykonania szkodliwego skryptu na komputerze użytkownika. Koncern Apple nie wydał jeszcze zaktualizowanej wersji naprawiającej lukę.

Problem

Petkov nie ujawnił na razie szczegółów odnośnie luki, powołując się przy tym na politykę odpowiedzialnego ujawniania i chce dać czas programistom Apple'a na załatanie dziury. W serwisie YouTube umieścił on wideo, w którym pokazuje, jak otwarcie pliku powiązanego z QuickTime'em może spowodować uruchomienie aplikacji Windows takich jak kalkulator, WordPad czy Paint. W swoim wideo Petkov demonstruje działanie luki zarówno w systemie Windows XP SP2, jak też w systemie Windows Vista z poprawką Service Pack 1.

Rozwiązanie

Nie istnieje jeszcze rozwiązanie problemu.

Obejście

Użytkownicy QuickTime'a powinni unikać otwierania plików pochodzących z niepewnych źródeł do czasu opublikowania przez Apple'a aktualizacji dla programu. Poza tym powinni deaktywować związane z QuickTime'em dodatki w przeglądarce, aby uniemożliwić automatyczne wykorzystanie luki przy wejściu na niebezpieczną stronę.

Zobacz także:

< a href="http://www.gnucitizen.org/blog/quicktime-0day-for-vista-and-xp/" target="_blank">QuickTime 0day for Vista and XP, ostrzeżenie w blogu Gnucitizen

Wideo przedstawiające działanie luki< a href="http://youtube.com/watch?v=fZd9ChU3XAY" target="_blank">Wideo przedstawiające działanie luki, serwis YouTube