Det danske sikkehetsselskapet CSIS kåret Apples Quicktime til den største sikkerhetsrisikoen i 2007. De ble gitt ut en rekke sikkerhetsoppdateringer, blant annet til sårbarheter som allerede ble utnyttet av ondsinnede.
I 2008 kom Apple stort sett bare med kvartalsvise oppdateringer til Quicktime, men hver av dem fjernet en rekke til dels alvorlige sikkerhetshull.
Det er selvfølgelig en fordel at sikkerhetshull blir oppdaget og fjernet, men Quicktime har hatt mer enn sin andel. Selv om Quicktime er et omfattende rammeverk, benytter nok de fleste Quicktime først og fremst som en multimediespiller.
Også januaroppdateringen til Quicktime, versjon 7.6, fjerner en serie sårbarheter. Samtlige skal potensielt kunne utnyttes til fjernkjøring av vilkårlig kode, noe som kan gi angriper full tilgang til systemet, i alle fall med samme privilegier som brukeren selv.
Sikkerhetsselskapet Secunia vurderer den nye oppdateringen som meget kritisk, men det er ikke kjent at sårbarhetene har blitt utnyttet aktivt av ondsinnede.
Sårbarhetene kan utnyttes ved å lokke brukeren til å åpne spesielt utformede mediefiler, for eksempel QuickTime Virtual Reality- (QTVR), MPEG-2- og H.263-video.
Det er også en sårbarhet knyttet til prosesseringen av en spesiell type URL-er (RTSP - Real Time Streaming Protocol), noe som fører til en bufferoverflytsfeil dersom Quicktime forsynes med en spesielt utformet RTSP-URL.
Samtlige sårbarheter gjelder både Mac- og Windows-utgavene av Quicktime. Mer informasjon om disse finnes på denne siden. 7.6-versjonen av Quicktime kan lastes ned fra denne siden.
Les også:
- [11.09.2009] Ny sikkerhetfiks til Quicktime
- [02.06.2009] Mange sårbarheter fjernet fra QuickTime
- [10.06.2008] Enda en sikkerhetfiks til Quicktime
- [03.04.2008] Fjerner bunke med sårbarheter fra Quicktime
- [07.02.2008] Oppdater Skype og Quicktime!
- [16.01.2008] Apple fjerner Quicktime-sårbarheter
- [11.01.2008] Enda en alvorlig Quicktime-sårbarhet
- [14.12.2007] Nye alvorlige sårbarheter i Quicktime
- [27.11.2007] Angrepskode til Quicktime offentliggjort