Apple выпустила QuickTime 7.3, в каком устранено семь уязвимостей. 6 разрешают выполнить случайный код, одна – запустить произвольные Java-апплеты с завышенными льготами.
Все уязвимости касаются Windows и Mac OS X.
В главном, уязвимости разрешают выполнить код, сокрытый во вредных видеофайлах и файлах изображений.
Одна появляется при обработке атомов описания вида файла, 2-ая – при обработке описателя сэмпла в таблице сэмплов (Sample Table Sample Descriptor), 3-я и 4-ая – при обработке изображений PICT, 5-ая – при обработке атома таблицы цветов в видеофайлах. Шестая – в атомах примера панорамы в видеофайлах QTVR.
И, в итоге, уязвимость, которая связана с обработкой Java-апплетов, разрешает выполнить код с завышенными преимуществами и похитить важную эти при посещении интернет-страницы, содержащей вредный апплет.
Предшествующее огромное обновление QuickTime было выпущено в июле – тогда компания убрала восемь уязвимостей. В октябре вышел патч, ликвидирующий возможность выполнения случайного кода в версии продукта для Windows, докладывает The Register.
Apple поблагодарила исследователей за помощь в поиске уязвимостей.