Sono stati riscontrati problemi di progettazione inQuickTime for Java che possono consentire l'esecuzione di codice arbitrario e l'accesso ad informazioni riservate contenute nella memoria di un browser web. Questo aggiornamento per Quicktime 7.1.6 pone rimedio ad entrambi i problemi ed è pertanto consigliato a tutti gli utenti di MacOS X e di Windows.
Vediamoli nel dettaglio:
Primo problema, identificato come CVE-ID: CVE-2007-2388
Visitare alcuni siti pericolosi può portare all'esecuzione arbitraria dei codici
QuickTime for Java aveva un problema di implementazione che poteva consentire l'instantiation o la manipolazione degli oggetti indipendentemente dai limiti della memoria heap allocata. Consentendo all'utente di visitare una pagina web con applet Java pericoloso, un malintenzionato può attivare il problema e provocare la successiva esecuzione arbitraria dei codici. Questo aggiornamento risolve il problema grazie all'esecuzione di ulteriori convalide degli applet Java. Apple ringrazia pubblicamente John McDonald, Paul Griswold e Tom Cross of IBM Internet Security Systems X-Force, and Dyon Balding of Secunia Research per aver riferito il problema.
Secondo problema, identificato come CVE-ID: CVE-2007-2389
Visitare alcuni siti pericolosi può portare alla divulgazione di informazioni sensibili
Un problema di progettazione in QuickTime for Java consentiva ad un applet Java di leggere la memoria di un browser web, con la conseguenza che un malintenzionato poteva provocare la divulgazione di dati sensibili. Questo aggiornamento risolve il problema svuotando la memoria prima di consentirne l'utilizzo da parte degli applet Java.
L'aggiornamento è disponibile via "Aggiornamento Software" oppure visitando la pagina del supporto Apple.
Tutte le informazioni sono tratte dall' articolo n° 305531
