Apple выпустила новую версию медиаплеера Quicktime 7.4, в которой устранила 4 уязвимости высокой степени опасности. Уязвимости существуют из-за ошибок при обработке Sorenson 3 медафайлов, при обработке Macintosh Resources, встроенных в QuickTime файлы, при обработке Image Descriptor (IDSC) атомов и сжатых PICT изображений. Все уязвимости позволяют выполнение произвольного кода на целевой системе.
Для получения контроля над системой жертвы, злоумышленник может обманом заставить пользователя запустить специально сформированный медиафайл или заманить пользователя на злонамеренный сайт.
Напомним, что ранее исследователь Luigi Auriemma опубликовал уведомление и PoC код, демонстрирующий переполнение буфера при обработке RSTP ответов. Эта уязвимость по-прежнему существует в версии 7.4 и позволяет злоумышленнику выполнить произвольный код на целевой системе.
SecurityLab рекомендует всем пользователям установить последнюю версию Apple Quicktime, доступную на сайте производителя.