Il team di Zero Day Initiative (ZDI) ha scoperto due gravi vulnerabilità zero-day nel software QuickTime per Windows. La situazione non è però destinata a trovare una soluzione. Apple, infatti, non rilascerà nessuna patch poiché l’azienda di Cupertino ha interrotto il supporto per la versione per i sitemi operativi di casa Microsoft del suo player.
È bene terra presente che le due vulnerabilità individuate da ZDI potrebbero consentire l’esecuzione di codice arbitrario sul computer della vittima. È necessario però che l’utente visiti una pagina infetta o apra un file contenente malware. Il primo caso è tuttavia da escludere poiché Apple ha rimosso il plugin QuickTime per i browser con l’aggiornamento di gennaio, quindi lo streaming non è possibile. Il rischio però c’è ancora dato che il file video può essere scaricato e visualizzato nel player.
Fortunatamente, al momento, non si segnalano exploit in circolazione ma vista la situazione Trend Micro e il Govero degli Stati Uniti hanno suggerito agli utenti Windows di disinstallare QuickTime dai loro computer.
Da notare che QuickTime 7.7.9 è l’ultima versione compatibile con Windows Vista e Windows 7. Apple non ha mai distribuito una release ufficiale per Windows 8/8.1 e Windows 10 anche se esistono due workaround per superare questa limitazione. Ad ogni modo, per Windows esistono diversi software di natura open soruce, come ad esempio il ben noto ed ampiamente apprezzato VLC, che possono sostituire senza problemi il software di casa Apple e che consentono di aprire i file .mov, il formato standard del software di Cupertino.
[Photo Credits | Flickr]
Via | Ars Technica
