Home > Notícias

Apple corrige falha existente há mais de um ano no QuickTime

Apple atualiza versão do QuickTime para Windows nesta quinta-feira (04/10) solucionando falha crítica existente há 13 meses

Por Computerworld/EUA

05/10/2007 às 11h24

Foto:

A Apple atualizou a versão do QuickTime para Windows nesta quinta-feira (04/10) solucionando uma falha crítica existente há 13 meses, que segundo críticos foi negligenciada na correção do player de mídia feita pela empresa em março deste ano.

A correção soluciona um problema no QuickTime para o Windows XP e o Vista, que foi revelada inicialmente em setembro de 2006 pelo especialista Petko Petkov, do Reino Unido. No mês passado, Petkov divulgou um código de teste da vulnerabilidade reclamando que a Apple não havia reconhecido seus alertas. Diversas amostras publicadas na internet ressaltaram tanto o bug no QuickTime como outra falha no browser de código aberto Firefox, que permitiam ataques capazes de raptar, de forma oculta, o desktop da vítima.

A Mozilla Corp. corrigiu a falha no Firefox seis dias após o aviso. No entanto, a diretora de segurança da Mozilla, Window Snyder, admitiu que ela e seu grupo ignoraram a falha quando divulgaram uma correção para um ´problema similar em julho.

Em setembro, a especialista fez um comentário sobre a falha da Apple. "Esta questão do QuickTime parece ter sido descrita por um CVE (Common Vulnerabilities and Exposure) -2006-4965, mas a correção que a Apple aplicou ao QuickTime 7.1.5 não evita esta versão do problema", declarou Snyder.

A Apple não concordou com a avaliação e classificou a correção de hoje como uma solução para um problema diferente daquele citado no CVE (Common Vulnerabilities and Exposure) 2007-4673. No entanto, a falha foi reconhecida. "É um problema na forma como o QuickTime lida com URLs no campo 'qtnext' em arquivos QTL", explica em seu alerta. "Incentivando um usuário a abrir um arquivo QTL especificamente manipulado, um invasor pode fazer com que uma aplicação seja lançada com argumentos de linhas de comando controlados, o que pode levar a uma execução arbitrária de código."

A empresa ressaltou que a vulnerabilidade não existe na versão do QuickTime para o sistema operacional Mac OS X.

O QuickTime atualizado pode ser baixado no site da Apple, ou pelo uso do pacote opcional Software Update para versões Windows do player, bem como pela loja de músicas iTunes. O arquivo tem cerca de 7 Megabytes e exige que o Windows seja reiniciado.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail