A Apple corrigiu sete falhas no QuickTime hoje ao atualizar o player para a versão 7.3 para Mac OS X e Windows. Todas as vulnerabilidades, menos uma, foram classificadas como críticas por outras empresas, mas a Apple não classifica suas falhas ou determina uma urgência para suas correções. Ao invés disso, a empresa usa o termo "execução arbitrária de código" para denotar os bugs que podem ser usados pelos hackers para injetar seus próprios códigos maliciosos em uma máquina não atualizada.
Duas das sete vulnerabilidades estão relacionadas à renderização de imagens PICT pelo QuickTime, uma no modo como o player lida com o formato de arquivos QTVR (QuickTime Virtual Reality), três em seu gerenciamento de arquivos de vídeo e uma no modo como trabalha com applets Java.
As seis falhas que envolvem arquivos de imagem ou vídeo podem ser exploradas por crackes que enganam os usuários fazendo com que abram arquivos malformados, enquanto que a sétima, relacionada ao Java, pode ser explorada quando o usuário visita um site com um applet malicioso. Esta vulnerabilidade, entretanto, pode resultar na execução remota de códigos apenas se o atacante possui algum, mesmo limitado, acesso à máquina alvo - seja ela PC ou Mac, informou a Apple.
O QuickTime pode ser atualizado usando o recurso Software Update integrado ao Mac OS X, enquanto que os usuários do Windows XP e Windows Vista pode fazer o download do QuickTime 7.3 a partir do site da Apple ou usando a ferramenta presente nas versões anteriores.
Fonte: Computerworld
