Casi 10 años. Ese es el tiempo que lleva “suelto” un parámetro llamado _Marshaled_pUnk dentro del código de QuickTime. Y bueno, tampoco sería cosa del otro mundo si no fuera porque puede usarse como backdoor para correr código malicioso en Windows 7, Vista y XP.
Ha sido descubierto por Rubén Santamarta, de la compañía española de seguridad Wintercore. El parámetro se usaba allá por 2001 para dibujar el contenido dentro de una ventana existente en lugar de crear una nueva y, aunque esa funcionalidad se quitó en versiones posteriores, el parámetro se quedó ahí. Y Santamarta dio con que se podía usar con malas intenciones.
Según le ha dicho a The Register H.D. Moore, arquitecto jefe del proyecto open source de seguridad Metasploit (creadores del Metasploit Framework), tiene todo el aspecto de ser un descuido más que otra cosa. Pero en Metasploit ya están desarrollando modulos de ataque que aprovechan la vulnerabilidad. ¿Oiremos noticias de Apple en breve al respecto?
Vía | Download Squad > The Register
Ver 22 comentarios
22 comentarios
The Reaper
por suerte nunca he usado quicktime (ni ganas)
Renato
lo peor, es que no es de extrañar un fallo en QuickTime :|
blaqkr
me pregunto si en Mac también sucede, y si dejaron eso en Quicktime X
didi2120
La solución es CCCP ó VideoLAN; ambos reproducen casi todos los formatos, así que el de apple ni siquiera lo extraño (odiaba a cada rato su aviso para que instale iTunes y safari; a parte de consumir muchos recursos)
jarrevolution
Jajajaja yo le subiría el sueldo al tipo que lo descubrió. Qué curioso.
54344
Dos cosas:
No instalo quicktime desde hace siglos, por lo menos desde que existe el quicktime alternative, que no ocupa tanto ni te obliga a instalar el reproductor de apple.
El fallo existe desde 2001 ¿Alguien cree que es intencionado?
Pol
uno mas a la largar lista....
irongraywolf
Seguridad Apple, ¿alguien da más?. No digo que los productos informáticos tengan que ser impenetrables, eso es imposible, pero la verdad es que lo que le está pasando a Apple es ya de risa, propio de un principiante en seguridad informática.
mauriciopat
Pues es una joda..........
Bryan Molina
Yo que sigo usando QuickTime para reproducir los videos .MP4 porque el WM12 de W7 cuando lo Maximizo no se ve el video sinó una pantalla negra , que sera en pantalla completa .
bapmike75
Nunca me gusto quicktime, últimamente no lo necesito, para eso instalo klite codec pack, hace poco lo instale porque me lo pedía firefox en facebook, pero lo raro es que no me lo pide en google chrome Oo.
Neo
Apple permitiendo introducir mierda en nuestro PC desde hace 9 años, es un complot de Jobs, ¡¡todos lo sabéis y no queréis admitirlo!!
(Por favor nótese la ironía)
anavlagos
el ultimo quicktime te trae error en el chat de facebook si lo instalas por eso volvi al 7.04 y no al 7.06...ojo
astralia
A ver, según Rubén Santamarta, la vulnerabilidad está en el plugin de Quicktime para IE, y solo afecta a Windows. Está toda la info publicada por él mismo en su web, http://reversemode.com , incluyendo el exploit.
lesan
Sin acritud, pero es EJECUTAR.
krollian
¡Jodó! Todavía me acuerdo que no se si fue con QT 3 que Microsoft impedía que funcionara bien enWindows XP para demostrar que tenía bugs...
En fin, batallitas de la informática. También se sabe que Windows tiene ciertos bugs que si se solucionaran significarían serias incompatibilidades en muchas aplicaciones.
Los SOs no son cosa de broma si se plantean mal.