O United States Computer Emergency Readiness Team (US-CERT) descobriu uma nova vulnerabilidade de buffer overflow no software QuickTime, da Apple. A vulnerabilidade afeta as versões para Windows e Mac. Como o QuickTime faz parte do software iTunes, esta aplicação também é afetada pela vulnerabilidade, disseram os pesquisadores.
A vulnerabilidade foi encontrada no modo como o QuickTime lida com mensagens de resposta RTSP. Quando tenta exibir uma Reason-Phrase especialmente criada, o QuickTime Player trava em um endereço de memória que pode ser controlado por um atacante, de acordo com o US-CERT. A organização também informou que estão cientes da disponibilidade pública de uma prova de conceito que explora esta vulnerabilidade.
O US-CERT oferece diversas soluções para o problema, incluindo a remoção completa do QuickTime, bloquear o protocolo RTSP e desabilitar os plug-ins do QuickTime em seu browser. Hackers visaram o QuickTime em Dezembro por causa de uma vulnerabilidade separada no RTSP, corrigida pela Apple através de uma atualização de software. Representantes da Apple não estavam disponíveis para comentar sobre a falha.
