Apple miał dwa miesiące na załatanie krytycznego błędu

Ruben Santamarta, hiszpański specjalista ds. bezpieczeństwa, opublikował kilka dni temu informację o poważnym błędzie w zabezpieczeniach aplikacji Apple QuickTime. Niektórzy komentatorzy skrytykowali go za to, że nie dał producentowi aplikacji czasu na usunięcie błędu - teraz jednak okazało się, że Apple wiedział o problemie już od co najmniej dwóch miesięcy.

Poinformował o tym właśnie Aaron Portnoy, menedżer projektu Zero Day Initiative (w ramach którego należąca do HP firma TippingPoint skupuje informacje o lukach w popularnym oprogramowaniu). Portnoy ujawnił, że błąd, o którym poinformował niedawno Santamarta, został już dwa miesiące temu znaleziony przez innego hakera i formalnie zgłoszony do Zero Day Initiative.

Przedstawiciele projektu natychmiast po zweryfikowaniu informacji o luce przekazali komplet informacji do Apple - problem w tym, że przez ponad 8 tygodni firma nic z nimi nie zrobiła.

"Coraz częściej zdarza się, że dostajemy z różnych źródeł zgłoszenia dotyczące tych samych błędów. To świadczy o tym, że specjaliści wyszukujący błędy robią to coraz skuteczniej. A to z kolei oznacza, że musimy skłonić producentów oprogramowania do szybszego i skuteczniejszego łatania dziur" - komentuje Aaron Portnoy.

Ze statystyk przedstawionych przez ZDI wynika, że w 2007 r. takich "zdublowanych" (to znaczy wykrytych jednocześnie przez dwóch różnych hakerów) błędów odnotowano w sumie 4. Ale już dwa lata później było ich 18, zaś w pierwszych ośmiu miesiącach bieżącego roku - 13.

"Dla nas wniosek jest jasny - błędów w oprogramowaniu szuka coraz więcej osób i szanse na to, że jakaś luka zostanie wykorzystana do atakowania użytkowników, jest coraz większa. Dlatego producenci muszą usprawnić proces łatania oprogramowania - jeśli nie zechcą zrobić tego z własnej woli, to my musimy ich do tego przekonać" - mówi Portnoy.

Specjalista ostro skrytykował Apple za zwlekanie z załataniem QuickTime'a - "Daliśmy im dwa miesiące na przygotowanie prostej poprawki, która - z racji swojej specyfiki - praktycznie nie wymagała testów. Całe łatanie sprowadza się w tym przypadku do banalnego zmodyfikowania jednego parametru i jest to coś, co spokojnie można zrobić w jeden dzień. Nie mam pojęcia, dlaczego oni wciąż tego nie zrobili" - tłumaczył przedstawiciel ZDI.

Sprawa jest o tyle poważna, że ów błąd może zostać łatwo wykorzystany do zaatakowania komputera z zainstalowanym Apple QuickTime - wystarczy do tego skłonienie użytkownika do odwiedzenia witryny WWW z odpowiednio spreparowanym plikiem multimedialnym. Takie ataki zresztą z pewnością wkrótce nastąpią, bo exploit na ów błąd został już dany do popularnego zestawu narzędzi hakerskich Metasploit (służy on do testowania zabezpieczeń i został stworzony z myślą o specjalistach ds. bezpieczeństwa - ale często korzystają z niego również przestępcy).

Warto przypomnieć, że przedstawiciele projektu ZDI wprowadzili ostatnio nową politykę informowania o błędach. Do tej pory informacja o luce w oprogramowaniu zgłoszonej do ZDI była upubliczniana dopiero, gdy producent danej aplikacji załatał ów błąd. Teraz jest inaczej - autor aplikacji ma sześć miesięcy na usunięcie błędu; po tym czasie ZDI opublikuje pełny opis błędu. Koordynatorzy projektu mają nadzieję, że takie rozwiązanie zmusi producentów oprogramowania do sprawniejszego łatania swoich produktów.


Zobacz również