Известие о том, что Apple больше не будет исправлять проблемы в QuickTime для Windows пришло из стана компании... Trend Micro. Еще в ноябре 2015 года исследователи Trend Micro Zero-Day Initiative обнаружили в QuickTime два критических бага, но тщетно ждали их исправления более полугода. Вместо устранения уязвимостей эксперты дождались только сообщения о том, что разработчики Apple прекращают поддержку Windows-версии QuickTime.
Еще в ноябре минувшего года эксперты Trend Micro обнаружили две критических уязвимости (ZDI-16-241 и ZDI-16-242). Обе могут спровоцировать heap corruption, что позволит атакующему выполнить вредоносный код в системе жертвы. Для реализации атаки достаточно заставить жертву открыть вредоносный медиафайл, либо в десктопной версии QuickTime, либо через плагин к браузеру.
Исследователи сообщили Apple о найденных проблемах в ноябре 2015 года и были крайне удивлены, когда обновление QuickTime для Windows, вышедшее в январе 2016 года (версия 7.7.9), не устранило ни один из опасных багов. Специалисты Trend Micro вновь попытались выйти на контакт с Apple и узнать, что случилось. Ответ исследователям дали лишь в конце марта 2016 года.
По данным Trend Micro, Apple больше не будет выпускать обновления безопасности для Windows-версии QuickTime, и исправлений вышеупомянутых уязвимостей можно не ждать. Пользователи OS X продолжат получать обновления, тогда как пользователям Windows Apple рекомендует удалить QuickTime вовсе. Компания аргументирует это не соображениями безопасности, но тем фактом, что в наши дни iTunes более не привязан к QuickTime, а также существует HTML5.
Специалисты Trend Micro тоже призывают удалить QuickTime, но в качестве превентивной меры защиты:
«Пока нам неизвестно о каких-либо активных типах атак, использующих данные уязвимости. Но единственный способ защитить вашу Windows-систему от потенциальных атак через использование уязвимостей в Apple QuickTime, это удалить QuickTime», — говорит Кристофер Бадд (Christopher Budd), менеджер по глобальным коммуникациям в сфере ИТ-угроз. — «В связи с тем, что QuickTime для Windows теперь присоединился к Windows XP и Oracle Java 6, то есть для него более не выходят патчи, риск от его использования будет только возрастать, пропорционально появлению всё новых и новых неисправленных уязвимостей».
Странно, но Apple пока не дает никаких официальных комментариев по данному поводу. Тем не менее, на сайте компании действительно можно найти инструкцию по удалению QuickTime, где его называют более ненужным, а браузерный плагин – устаревшим.
Фото: Marclicious