Buffer overflow nell’URL handler RTSP di QuickTime [updated]

Il “the Month of Apple Bugs” è partito ufficialmente.

Il primo bug segnalato è relativo all’URL handler RTSP di QuickTime, il quale permette l’esecuzione di codice arbitrario, a causa di un buffer overflow, sia su Windows che su Mac OS X.
Le versioni interessate dal problema sono QuickTime™ Version 7.1.3, Player Version 7.1.3 e precedenti.
Il PoC rilasciato nelle note dell’advisory è in grado di ritornare una shell grazie all’apertura di un file QTL preparato ad arte.

E’ consigliato, in quanto unico workaround possibile per ora, disabilitare il supporto diretto per stream RTSP in QuickTime.
Nella versione per Windows il supporto a RTSP si trova nella voce “Streaming – Streaming movies” della linguetta “File Type” nel menu delle preferenze. In Mac OS X, invece, si trova in System Preferences -> QuickTime -> Advanced -> MIME Settings -> Streaming – Streaming Movies.

Grazie a ISC per la procedura di disabilitazione per Mac OS X.

Aggiornamento: in Mac OS X non è sufficente disabilitare l’opzione come suggerito sopra, ma è necessario bloccare l’handler a runtime. E’ quindi necessario installare un applicativo di terze parti.

 

Nessun Commento.. Puoi essere il primo!

Lascia un Commento