Apple Patches QuickTime Bug, który był ukryty w książce

Apple wydało poprawki dla oprogramowanie QuickTime i iTunes, naprawiające krytyczne luki bezpieczeństwa oraz błąd, który pojawił się na początku tego roku w książce o hakowaniu komputerów Macintosh.

Aktualizacje naprawiają luki w 10 QuickTime i jeden błąd w iTunes. Błędy dotyczą zarówno użytkowników systemu Windows, jak i Maca i zostały poprawione w wydaniach QuickTime 7.6.2 i iTunes 8.2, opublikowanych w poniedziałek.

Większość błędów nie była publicznie znana przed dzisiejszymi aktualizacjami, więc jest mało prawdopodobne, że zostały wykorzystane przez cyberprzestępcy. Okazuje się jednak, że jedna wada - błąd w sposobie, w jaki QuickTime odczytuje pliki skompresowane za pomocą standardu kompresji JPEG 2000 (JP2) - został częściowo ujawniony w książce Charlie Millera i Dino Dai Zoviego "The Mac Hacker's Handbook, "wydany w marcu.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

W wywiadzie w poniedziałek Miller powiedział, że wstawił instrukcje dotyczące znalezienia błędu w części książki, która opisuje, jak znaleźć błędy w oprogramowaniu Apple. "Jeśli podążysz za wszystkimi krokami, które znajdziesz … robakiem", powiedział. "Nie pokazałem błędu, ale podałem przepis, jak go znaleźć."

Miller ujawnił podczas wykładu na konferencji CanSecWest w marcu, że miał ukryte instrukcje dotyczące znalezienia błędu w swojej książce. Gdy członkowie zespołu bezpieczeństwa Apple podeszli do niego na konferencji, aby zapytać o problem, w poniedziałek przekazał kod exploita.

Przypadkowo inny haker Mac, Damian Put, sprzedał tę samą wadę miesiąc później do TippingPoint 3Com oddział, który również zgłosił problem Apple. Chociaż TippingPoint nie powiedziałby, ile zapłacił Za wadę firmy zazwyczaj płacą tysiące dolarów za takie błędy. Miller i Dai Zovi mają listę 50 USD.

Chociaż Put użył innej techniki niż Miller i Dai Zovi, aby znaleźć problem, TippingPoint nie wiedział, że kupił błąd w "The Mac Hacker's Handbook", dopóki Apple nie poinformuje to około tygodnia temu, według Pedra Aminiego, kierownika ds. badań nad bezpieczeństwem TippingPoint.

Nie jest niczym niezwykłym, że dwaj hakerzy odkryli ten sam błąd, powiedział Amini. Niedawno trzej osobni badacze przesłali identyczne błędy w Internet Explorerze w ciągu sześciu miesięcy. Dodał jednak: "Gdybyśmy przeczytali książkę przed otrzymaniem tego numeru od Damiana, prawdopodobnie nie złożalibyśmy oferty."

W swoim doradztwie w zakresie bezpieczeństwa, Apple przyznał Millerowi i Putowi, że znalazł problem.

Oprócz poprawki bezpieczeństwa, wersja iTunes 8.2 zawiera wsparcie dla nadchodzącego oprogramowania iPhone 3.0, które ma zostać zaprezentowane na konferencji Apple's Worldwide Developer Conference w przyszłym tygodniu w San Francisco.