Um cracker lançou um código de ataque que explora uma vulnerabilidade não corrigida no QuickTime, da Apple, apenas uma semana depois que a empresa atualizou o tocador de mídia, consertando outras nove vulnerabilidades sérias.

O ataque, que foi publicado no site milw0rm.com na terça-feira (16/09), se aproveita da falha no "<? quicktime type= ?>", código no QuickTime que não está preparado para lidar com sequências muito longas, disse o pesquisador de segurança Aaron Adams, da Symantec, no fórum de notificação da empresa na quarta-feira (17/09).

"Estamos investigando esta falha ainda mais, para determinar os detalhes técnicos", acrescentou Adams.

Em sua forma atual, o ataque causa o travamento do QuickTime, mas pode se tornar mais sério. "O ataque sugere que a execução do código pode ser possível. Se essa falha permitir que códigos sejam executados arbitrariamente, pode constituir um risco significativo, pois crackers podem ser capazes de explorar o assunto e incorporar arquivos maliciosos em um site".

O cracker anônimo que postou o código de ataque foi tão incerto quanto a Symantec sobre o poder do ataque. "A execução do código pode ser possível", dizia o texto no milw0rm.com.

Adams tem poucos conselhos aos usuários além de encorajá-los a serem cautelosos durante a navegação e desabilitar o plug-in do QuickTime, que é facilmente encontrado em máquinas com Windows e instalado como padrão em todos os Macs.

Oito das nove vulnerabilidades que a Apple corrigiu na semana passada, ao lançar a atualização QuickTime 7.5.5 foram classificadas como "execução arbitrária de código", frase que a Apple usa para descrever as ameaças mais sérias.

A Apple já corrigiu o player cinco vezes desde o início do ano. Nesse processo, corrigiu mais de 30 falhas.