De kwetsbaarheid werd afgelopen vrijdag ontdekt door de Poolse onderzoeker Krystian Kloskowski en een hacker met bijnaam InTel. De bug zit in het Real Time Streaming Protocol (RTSP) van QuickTime versies 7.2 en 7.3. Windowssystemen zijn door de bug kwetsbaar voor een aanval, concluderen ze. InTel meldt ook dat Apple vergeten is om de ASLR in te schakelen, een beveiligingsfeature in Vista die het moeilijker moet maken om willekeurige code uit te voeren.

De fout kan volgens Symantec worden uitgebuit door gebruikers te verleiden een attachment te openen, of door ze een website te laten bezoeken. In het eerste geval gaat het om een XML-bestand dat zich voordoet als QuickTimebestand. Het forceert een opening in het RTSP op poort 554, zodat de aanvaller verbinding kan maken. In het geval van een webaanval worden slachtoffers een linkje toegestuurd naar een website met een ingebouwde QuickTimestream. Die opent dezelfde route voor de server van de aanvaller. Bij succes kan deze extra malware installeren.

Gebruikers van Firefox lopen volgens Symantec het meeste risico, omdat die browser de stream van de site zonder dralen uitvoert. Safari 3 beta en IE 6 en 7 lijken er niet in te trappen.

Enkele weken geleden werd QuickTime door producent Apple naar 7.3 gepatched om zeven lekken te dichten. Om risico te vermijden adviseert Symantec om TCP poort 554 voorlopig met een firewall af te sluiten. Bron: Techworld