Mako.biz - Tutto Rigorosamente Gratis!!!

Con gli aggiornamenti rilasciati lo scorso Martedì, Apple ha corretto alcune falle presenti nei software per iPod Touch, iPhone e QuickTime. Gli aggiornamenti tuttavia non hanno corretto una nuova vulnerabilità legata all’ormai noto protocollo Real Time Stream Protocol (RTSP).

Gli aggiornamenti riguardanti l’ìPod Touch e l’iPhone hanno corretto 3 vulnerabilità che riguardavano il browser Safari e il Passcode Lock dell’iPhone.
Con l’aggiornamento a QuickTime, la compagnia di Cupertino ha provveduto a correggere ben 4 vulnerabilità, tutte legate a problemi di parsing e di gestione dei file. La versione 7.4 di QuickTime, tuttavia, non corregge un’importante falla scoperta dall’italiano Luigi Auriemma.
Secondo quanto riportato nella nota dell’US-CERT, Apple QuickTime soffre di una vulnerabilità di buffer overflow causata dal modo in cui vengono gestiti i messaggi di risposta del protocollo RTSP. In presenza di alcuni codici di stato generati dal protocollo, QuickTime mostra determinate “Reason-Phrase” per spiegare cosa sta succedendo. Sfruttando una Reason Phrase creata appositamente è possibile causare un buffer overflow e prendere il controllo del sistema.
In modo analogo a quanto succedeva con una precedente vulnerabilità, sempre legata ad un bug del protocollo RTSP, per sfruttare l’exploit è sufficiente convincere un utente di QuickTime ad eseguire uno stream RTSP opportunamente modificato.

Approfondisci su >>>

Trackback URI | Comments RSS