Symantec ha annunciato che alcuni ricercatori hanno creato un “proof of concept”, un software funzionante anche se prodotto semplicemente in via sperimentale, che è in grado di sfruttare un bug di sicurezza in QuickTime per eseguire codice arbitrario sia su macchine con Windows che macchine con Mac Os X.
Il frutto del lavoro dei ricercatori giunge a distanza di alcuni giorni dalla scoperta del bug che passa attraverso un errore nel codice del Real Time Streaming Protocol, la modalità per cui viene trasmesso video “in diretta” usando QuickTime.
Symantec aveva sottolineato allora che un attacco attraverso questo bug poteva provocare il crash dell’applicazione se non compromettere il funzionamento delll’intero sistema.
Al momento Apple non ha ancora rilasciato un patch per fare fronte a questo bug. La raccomandazione di Symantec è quella di disabilitare QuickTime per la gestione del traffico in real time e di installare un prodotto per monitorare il traffico in entrata, disabilitare JavaScript ed evitare siti non affidabili.
I prodotti antivirus di Symantec individuano il proof of concept come “Trojan Quimkids” , assegnando però ad esso un rischio basso.
QuickTime, secondo alcuni ricercatori, è il più prono dei prodotti software di Apple a bug di sicurezza. Nel corso dell’anno Cupertino ha già rilasciato sei patch per fare fronte a buchi nel suo codice.
