Gebruikers die een gemanipuleerd qtl-bestand openen, zijn vatbaar voor een buffer overflow, zo meldt de hacker. Kwaadwillenden kunnen door de buffer overflow eigen codes uitvoeren en een systeem overnemen.

De software is kwetsbaar omdat rtsp-url's niet goed worden verwerkt, aldus LMH.

Het gemelde lek komt zowel voor in de Windows- als Mac-versie van Quicktime. Hacker LMH, die de exploit in versie 7.1.3 heeft getest, vermoedt dat ook oudere versies kwetsbaar zijn.

Een update van Apple is nog niet beschikbaar. Beveiligingsbedrijf Secunia raadt gebruikers aan voorlopig geen qtl-bestanden te openen.

LMH, een van oprichters van het Month of Kernel Bugs-project, is voornemens elke dag in januari een Apple-lek te onthullen. Hij verwacht daarbij geen juridische problemen te krijgen.

"Ik houd contact met iemand van Apple's beveiligingsteam en ben bereid te helpen als dat nodig is. Ik houd me verre van illegale activiteiten." Bron: Techworld