Divulgata una grave vulnerabilità del plugin QuickTime

di Percy Cabello

GNUCITIZEN, una "organizzazione di hacker creativi", ha divulgato i dettagli di una grave vulnerabilità che colpirebbe gli utenti Firefox che hanno installato il plugin QuickTime su Windows e Mac OS X e che, come minimo, comprenderebbe tutti gli utenti iTunes.

Questa vulnerabilità si basa sui file QuickTime Media Link (.qtl), semplici file XML che racchiudono informazioni su come debba essere riprodotto il file (come un .avi, .mov oppure .mp3) e varie altre impostazioni. Tuttavia, uno di questi parametri, qtnext, consente al fornitore del servizio di specificare un URL (cioè un indirizzo web) che compaia al termine del file multimediale. L'URL potrebbe essere un'istruzione JavaScript come quelle utilizzate attualmente in migliaia di pagine web e di servizi.

A questo punto, non sorge alcun problema: Firefox stesso è controllato tramite librerie e codice JavaScript in un ambiente isolato che lo separa dal codice delle pagine web. Purtroppo, in un computer sotto attacco, il plugin QuickTime riesce ad accedere al codice di Firefox proprio come una qualsiasi applicazione e a manipolarlo per eseguire un qualsiasi processo.

A peggiorare le cose, i file QTL possono essere rinominati come .mp3, mpg, .avi o in uno qualunque delle decine di formati che QuickTime supporta e che sa gestire, estendendo dunque la superficie di attacco.

Le dimostrazioni postate da GNUCITIZEN sono davvero terrificanti: cliccando su un file mp3, il plugin QuickTime cerca di caricare il file, che non esiste, quindi si arresta rapidamente ed esegue la Calcolatrice di Windows. Ma potrebbe trattarsi di una qualunque applicazione con qualunque parametro addizionale.

Non mi è ancora chiaro di chi sia la responsabilità, ma l'imposizione da parte di QuickTime di una convenzione nei nomi dei file aiuterebbe almeno a sapere quando un sito sta distribuendo un file che potrebbe, potenzialmente, includere degli script.

D'altro canto, Firefox non dovrebbe consentire ad un plugin di manipolare il proprio codice. Se vogliamo mettere il dito nella piaga, questa è la terza volta che GNUCITIZEN rivela questa vulnerabilità: fu inizialmente divulgata circa un anno fa e, ancora, alcuni mesi più tardi.

Vista la gravità di questa falla, è necessario che adesso venga risolta.

Se avete installato il plugin di QuickTime, ogni file multimediale potrebbe in teoria prendere il controllo del vostro computer e quindi vi consiglio di disabilitarlo al più presto. Immagino che ci siano dei metodi più ortodossi per farlo ma, nel frattempo, è sufficiente rinominare la cartella plugins che si trova nel percorso di installazione di QuickTime. In Windows, questo si trova solitamente in C:\Programmi\QuickTime. I file multimediali rimarranno associati al plugin ma facendo doppio click su un file di questo tipo si otterrà solo una pagina bianca. Si tratta solo di un palliativo temporaneo.

Qui potete leggere l'intera relazione di GNUCITIZEN.