В минувший четверг Apple выпустила новую версию QuickTime для Windows, содержащую исправлениеи для девяти уязвимостей, в том числе для тех, о которых 13 августа сообщили исследователи из Cisco Talos и Fortinet. Согласно бюллетеню Apple, все пять уязвимостей в случае их эксплойта приводили либо к сбою в работе медиаплеера, либо в некоторых случаях к исполнению кода. Эксплойт двух других уязвимостей, отчет о которых предоставили эксперты Cisco и Fortinet, также чреват удаленным исполнением кода. CVE-2015-5785 и CVE-2015-5786 — уязвимости нарушения целостности памяти, присутствовавшие в QuickTime версий старше 7.7.8, заявили Райан Пентни (Ryan Pentney) и Ричард Джонсон (Richard Johnson) из Cisco, а также эксперты из Fortinet FortiGuard Labs. «Удаленный пользователь может создать контент, который, будучи загружен целевым пользователем, приведет к исполнению произвольного кода», — говорится в бюллетене на SecurityTracker. Обновление для QuickTime было выпущено спустя неделю после гигантского апдейта для Mac OS X, OS X Server и iOS, привнесшего правки для десятков уязвимостей, включая критический ошибка повышения привилегий в динамическом компоновщике DYLD, обнародованный месяцем ранее. Все исправлениеи для Windows-версии были включены в обновление для QuickTime для OS X еще две недели назад. Представители Apple заявили, что для борьбы с уязвимостями исполнения кода и DoS-багами были внесены правки в механизм работы с объектами в памяти. Пять уязвимостей, о которых стало известно благодаря экспертам Cisco, присутствуют в Windows-версиях QuickTime 7.7.5 и 7.7.6 для 32х-битных машин.
Источник