В плагине для запуска медиафайлов от Apple, QuickTime Plug-In, обнаружены уязвимости, позволяющие удаленному атакующему выполнить произвольный JavaScript или запустить любое приложение, расположенное на компьютере пользователя. Уязвимость срабатывает при обработке XML-файлов ссылок QuickTime .qtl. В них находится адрес медиафайла для запуска при помощи QuickTime и различные параметры запуска. Эти параметры и лежат в основе уязвимости. JavaScript-код выполняется с наивысшими правами, определенными браузером для запуска сценариев. Уязвимость срабатывает на последних версиях плагина QuickTime — до 7.1.3 включительно, и Firefox — до 2.0.0.6 включительно.
Описание уязвимости