Серьёзная уязвимость в QuickTime29/07/2010 14:21
Просмотров: 226 Датская компания Secunia, специализирующаяся на компьютерной безопасности, обнародовала серьёзную брешь в известном плеере QuickTime от Apple для платформы Windows. Secunia сообщает, что уязвимость может быть использована обманным перенаправлением пользователя на вредоносную веб-страницу. Согласно отчёту датского агентства, недостаток в процессе регистрации ошибок QuickTime для потоковой отладки может использоваться для вызова переполнения буфера. Такое случается, когда программа записывает данные вне границ выделенной ей области памяти. Переполнение буфера представляет собой серьёзную угрозу безопасности компьютера, потому что в большинстве случаев переполнение позволяет вставлять произвольный код в память для более позднего выполнения. Чтобы использовать эту уязвимость QuickTime, хакер выполнением кода заводит пользователей на Web-страницу, которая ссылается на специально обработанный файл SMIL, содержащий длинный URL. SMIL — язык разметки на основе XML, используемый для описания разметки временной синхронизации, размещения, анимаций, визуальных преобразований и многих других аспектов мультимедийных объектов. Этот вид атак, проводимых в Сети, известен тем, что загрузка и передача данных идёт незаметно от пользователя при безобидном действии ( как, например, попытка нажатия «крестика» для закрытия баннера приводит не только к закрытию баннера, но и загрузке зловредов ). Разработчики вредоносного ПО регулярно пытаются заразить надежные веб-сайты своими баннерами и прочим контентом, которые предназначаются для использования подобной уязвимости в устаревших версиях популярного ПО ( Adobe Reader, Adobe Flash Player, Java Runtime, ActiveX ). QuickTime — ценная цель для киберпреступников, так как плеер установлен на очень большом количестве компьютеров по всему миру. Почти все люди, которые владеют iPod, iPhone или iPad, используют iTunes, а iTunes требует QuickTime для аудио и видео проигрывания. Уязвимость работает на свежей версии плеера QuickTime 7.6.6 (1671), но, возможно, что старые версии также подвержены уязвимости. Сама уязвимость была найдена польским исследователем Кристианом Клосковски (Krystian Kloskowski), который в мае обнаружил похожую уязвимость в браузере Safari. Патча или временного решения ещё нет, а компания Apple пока никак не отреагировала на отчёт Secunia.
Описание уязвимости
Самые свежие новости:
9/09/2010 11:06 - Apple выпустила финальную версию iOS 4.1
9/09/2010 10:36 - Dell попрощался с Windows XP
9/09/2010 10:08 - Вышло девятое обновление Solaris 10 (9/10)
9/09/2010 09:51 - В ходе общеевропейского антипиратского рейда задержаны 10 человек
9/09/2010 09:32 - Две трети пользователей Сети оказались жертвами киберпреступников
8/09/2010 12:05 - Вышли новые версии Firefox, Thunderbird и SeaMonkey
8/09/2010 11:56 - Apple выпускает новую версию Safari
8/09/2010 10:25 - URA.ru атаковали и отключали
8/09/2010 09:55 - Intel поддержит стандарт USB 3.0
8/09/2010 09:34 - В европейских странах прошли антипиратские рейды
7/09/2010 14:14 - Германия запускает программу по борьбе с ботнетами
7/09/2010 10:52 - Четверть новых вирусов пишется под USB-устройства
7/09/2010 10:34 - Взимание денег за входящие с коротких номеров sms-сообщения законно
7/09/2010 10:03 - Саркози стал жертвой "бомбы" в Google
7/09/2010 09:41 - "Ростехнологии" заинтересовались национальной операционной системой
|