QuickTime 7.5, más seguro

El reproductor multimedia de Apple ha vuelto a verse afectado por una serie de actualizaciones que permiten corregir hasta 5 vulnerabilidades que estaban pendientes de solucionarse, y que podían provocar intrusiones en nuestro PC.  La versión 7.5 de QuickTime ofrece solución a dichos problemas, y es una evolución de las actualizaciones que ya aparecieron hace dos meses.

Es la segunda revisión casi seguida de QuickTime, que hace apenas 8 semanas veía cómo 11 vulnerabilidades graves eran solucionadas a base de una serie de actualizaciones que acabaron conjugándose en la versión 7.45 de este popular reproductor multimedia. QuickTime es sin lugar a dudas todo un clásico tanto para Mac OS X como para Windows que permite reproducir los vídeos en formato MOV además de dar acceso a otros tipos de contenidos vía iTunes.

Sin embargo, aquella actualización se ha visto acompañada de una nueva y reciente versión de QuickTime, la 7.5, que ofrece como gran novedad la corrección de otras cinco vulnerabilidades detectadas por distintos expertos en seguridad de empresas como Secunia Research, Symantec o McAfee, y que están claramente especificadas en el documento que Apple ha puesto a disposición de los usuarios.

Estos fallos permitían aprovechar ciertos tipos de datos corruptos para ejecutar código arbitrario en un PC que podría dar lugar a intrusiones e incluso el control remoto de nuestra máquina. Por ejemplo, las imágenes PICT disponen de una serie de estructuras llamadas PixData que podían acabar provocando un desbordamiento de pila al ser tratadas con QuickTime, lo que ofrecería la posibilidad a un hacker de utilizar a propósito dicha vulnerabilidad para provocar este tipo de fallo y ejecutar código en nuestra máquina. En el caso de este error, sólo Windows Vista y Windows XP SP2 (no se habla de SP3) estaban afectadas.

Las cuatro vulnerabilidades restantes sí que afectan tanto a Mac OS X como a Windows Vista y a XP SP2, y afectaban a ficheros AAC, imágenes PICT (de nuevo, con otra clase de eerror), el tratamiento del códec de vídeo Indeo y, atención, la gestión de las URLs que dan accesos a contenido bajo streaming, y que se están convirtiendo en una plaga de agujeros de seguridad para Quicktime.

Las actualizaciones están ya disponibles para Windows (22,67 Mbytes) y las distintas versiones de Mac OS X afectadas por el problema: Leopard (56 Mbytes), Tiger (52,8 Mbytes) y Panther (51,39 Mbytes). Como indican en Ars Technica, el documento de seguridad publicado en Apple parece descartar la necesidad de dicha actualización para usuarios de Jaguar, Puma y Cheetah.

Otras fuentes:

CNET: Apple fixes security issues with QuickTime 7.5

eWeek: QuickTime Update Plugs More Holes

Ars Technica: QuickTime 7.5 hits the streets

Security Watch: Five QuickTime Bugs Fixed In Update

CNET: Code execution flaws hit QuickTime again

ComputerWorld: Apple patches 5 critical QuickTime bugs