• Tweet

La vulnerabilidad ocurre en la forma en que QuickTime maneja el código JavaScript. Un intruso podría utilizar un applet de Java malicioso embebido en una página Web para ejecutar código sobre una máquina con los permisos del usuario actual.

La vulnerabilidad fue descubierta por el investigador de seguridad independiente Dino Dai Zovi, quien desarollo un exploit en cuestion de horas.

Dai Zovi y su compañero Shane Macauley utilizaron el exploit para ganar como premio una MacBook Pro y 10 mil dólares en la conferencia de seguridad CanSecWest.

Originalmente se dijo que la vulnerabilidad existía solamente en Safari. Sin embargo, Dai Zovi y el último Tipping Poin descubrieron que la vulnerabilidad afectó a todos los navegadores con Java habilitado en Mac y PC sobre sistemas con QuickTime instalado.

Apple también ha publicado una actualización que soluciona fallas de seguridad en los componentes AirPort y FTP para Mac OS 10.3.9 y 10.4.9.