Apple «излечила» QuickTime: семь уязвимостей

Apple в понедельник, 5 ноября 2007 г., выпустила QuickTime 7.3, в котором устранено семь уязвимостей. Шесть позволяют выполнить произвольный код, одна – запустить произвольные Java-апплеты с повышенными привилегиями. Все уязвимости касаются Windows и Mac OS X.

Предыдущее крупное обновление QuickTime было выпущено в июле – тогда компания устранила восемь уязвимостей. В октябре вышел патч, устраняющий возможность выполнения произвольного кода в версии продукта для Windows, сообщает The Register.

В основном, уязвимости позволяют выполнить код, скрытый во вредоносных видеофайлах и файлах изображений. Одна возникает при обработке атомов описания образа файла, вторая – при обработке описателя сэмпла в таблице сэмплов (Sample span Sample Descriptor), третья и четвертая – при обработке изображений PICT, пятая – при обработке атома таблицы цветов в видеофайлах. Шестая – в атомах образчика панорамы в видеофайлах QTVR. И, наконец, уязвимость, связанная с обработкой Java-апплетов, позволяет выполнить код с повышенными привилегиями и похитить важную информацию при посещении веб-страницы, содержащей вредоносный апплет.

Apple поблагодарила исследователей за помощь в поиске уязвимостей: Адама Говдиака (Adam Gowdiak) и сотрудников 48bits.com, spanapkit.de, Adobe и Reversmode.com.