Apple javítások a QuickTime könyvben rejlő hiba esetén

Az Apple kiadta a javításokat a QuickTime és az iTunes szoftvert, amely kulcsfontosságú biztonsági hibákat rögzített egy olyan hibával együtt, amelyet először idén megjelent egy Macintosh számítógépes hackelés könyvében.

A frissítések 10 QuickTime sebezhetőséget és egyetlen hibát javítanak az iTunes-ban. A hibák hatással vannak mind a Windows, mind a Mac-felhasználókra, és a QuickTime 7.6.2 és az iTunes 8.2 kiadásait javították, hétfőn.

A legtöbb hiba nyilvánosság előtt nem ismert a mai frissítések előtt, ezért nem valószínű, hogy azokat kihasználták cyber-bűnözők. Azonban kiderül, hogy egy hiba - egy hiba, ahogyan a QuickTime a JPEG 2000 (JP2) tömörítési szabványt használva tömörített fájlokat olvassa - részben szerepelt a Charlie Miller és a Dino Dai Zovi könyvében: "The Mac Hacker's Handbook, "megjelent márciusban.

[

]

Miller egy interjúban hétfőn elmondta, hogy útmutatást adott a hibának a könyv egy részében, amely leírja, hogyan lehet hibákat találni az Apple szoftverében. - Ha követte az összes lépést, amit talál … a hiba - mondta. "Nem mutogattam a hibát, de megadtam a receptet, hogyan találhatom meg."

Miller a márciusban megrendezett CanSecWest konferencián beszédet mondott arról, hogy rejtett útmutatásokat talált a könyv hibájára. Miután az Apple biztonsági csapata tagjai a konferencia felé fordultak, hogy megkérdezzék a kérdést, átadta a kizsákmányolási kódot, azt mondta hétfőn.

Véletlenül egy másik Mac hacker, Damian Put egy hónappal később eladta a 3Com TippingPoint divízió, amely szintén jelentette az ügyet az Apple-nek. Bár a TippingPoint nem mondja meg, hogy mit fizetett Tegyen fel a hibát, a vállalatok általában több ezer dollárt fizetnek ilyen hibákért. Miller és Dai Zovi könyvei 50 dollárért vannak.

Bár Put más technikát használ a Miller és a Dai Zovi-tól, hogy megtalálja a problémát, a TippingPoint nem tudta, hogy megvásárolta a hibát a "The Mac Hacker's Handbook" körülbelül egy héttel ezelőtt, a TippingPoint biztonsági kutatási vezetője, Pedram Amini szerint.

Nem szokatlan, ha két hacker ugyanazt a hibát fedezi fel, mondta Amini. Nemrégiben három különálló kutató egyidejűleg az Internet Explorer hibáit 6 hónapon belül nyújtott be. Mindazonáltal hozzátette: "Ha elolvastuk volna a könyvet, mielőtt megkaptuk volna ezt a kérdést Damiantől, akkor valószínűleg nem tettünk volna ajánlatot."

Biztonsági tanácsadása során az Apple jóváírta Millert és Putet a probléma megtalálása érdekében.