A F-Secure publicou em seu blog nesta segunda-feira (11/12) mais informações sobre a falha do QuickTime utilizada para alterar perfis no MySpace. A empresa diz que a solução apresentada não corrige o problema e que o QuickTime possui outra brecha semelhante que também afeta o Mac OS X.
A vulnerabilidade no QuickTime, que a Apple afirmou ser uma “funcionalidade”, foi utilizada para executar código no navegador de usuários que visitavam perfis infectados no MySpace. O código infecta o perfil do usuário e adiciona uma barra falsa de login que, se utilizada, leva o internauta a páginas falsas que roubam senhas.
O MySpace passou a exibir uma página aos usuários de IE que possuem o QuickTime instalado, pedindo que eles instalem um “patch” para corrigir o problema. A F-Secure, no entanto, afirma que a solução divulgada não corrige a falha, pois pode ser facilmente burlada.
A fabricante de antivírus também alerta para uma outra brecha no QuickTime, pública desde setembro, que ainda permanece sem correção e é tão grave quanto a utilizada no MySpace. Esta brecha também afeta usuários de Macintosh e do codec QuickTime Alternative (incluído em pacotes como o K-Lite Codec Pack).
A F-Secure reforça que nenhum problema é culpa MySpace, mas sim do QuickTime, e recomenda que todos os sites de redes sociais não permitam que os usuários insiram clipes do QuickTime antes que a Apple corrija os erros, que são vulnerabilidades, e não funcionalidades.
Linha Defensiva 