Computerworld News Service: En hacker har offentliggjort angrebskode, der udnytter en sårbarhed i QuickTime.
Det sker blot en uge efter, at Apple opdaterede medieafspilleren for at lappe ni andre alvorlige sikkerhedshuller, udtaler en sikkerhedsekspert.
Denne exploit udnytter en fejl i QuickTimes "<? Quicktime type= ?>"-parameter, som ikke er forberedt til at håndtere meget lange strings, ifølge Aaron Adams, som er forsker hos Symantecs DeepSight.
"Symantec er i gang med at undersøge denne fejl yderligere for at klarlægge de underliggende tekniske detaljer," skriver Adams i et forskningsnotat onsdag.
I sin nuværende form får denne angrebskode QuickTime til at crashe, men sikkerhedshullet er muligvis mere alvorligt end som så.
"Denne exploit antyder, at det måske er muligt at køre kode på et offers computer, og hvis denne fejl tillader en tilfældig kode at køre, så udgør den en betydelig risiko, da hackere således vil være i stand til at indlejre en skadelig fil på et website," siger Aaron Adams.
Den anonyme hacker var lige så usikker på sikkerhedshullets potentiale som Symantecs ekperter. "Kodeeksekvering er måske mulig," stod der i indlægget fra hackeren.
Adams har ikke mange gode råd til brugere, andet end at han opfordrer til forsigtighed, når man browser, og at man overvejer at deaktivere QuickTime-plugin'et, som er udbredt på Windows-computere og installeret som standard på alle Macs.
I sidste uge opdaterede Apple QuickTime til version 7.5.5 for at lukke ni andre sikkerhedshuller, hvor otte var anført med "arbitrær kodeeksekvering", som Apple bruger til at beskrive de alvorligste trusler, der tillader uautoriseret og potentielt skadelig kode at køre på et offers computer.
Oversat af Thomas Bøndergaard
