"Month of Apple Bugs" rozpoczęty

Zgodnie z wcześniejszymi zapowiedziami, niezależny ekspert ds. komputerowych zabezpieczeń Kevin Finisterre oraz haker ukrywający się pod pseudonimem LMH z początkiem nowego roku rozpoczęli akcję wyszukiwania i publikowania informacji o lukach w oprogramowaniu koncernu Apple oraz aplikacjach innych producentów, przeznaczonych dla Mac OS X. "Na pierwszy ogień" poszły odtwarzacze multimediów - obaj panowie opisali najpierw lukę w odtwarzaczu QuickTime, a następnie - w VLC.

Luka dotyczy funkcji odtwarzacza odpowiedzialnej za przetwarzanie danych protokołu RTSP (Real Time Streaming Protocol, sterowanie dostarczaniem danych czasu rzeczywistego). W opisie błędu, zamieszczonym na stronie projektu "Month of Apple Bugs" czytamy, iż za pomocą specjalnie spreparowanego adresu rtsp:// cyberprzestępca mógłby doprowadzić na komputerze użytkownika ofiary do błędu przepełnienia bufora (wykorzystanie pliku HTML, QTL bądź Javascript stworzyłoby sprzyjające warunki do zdalnego uruchomienia groźnego kodu).

Problem dotyczy najnowszej wersji QuickTime'a, oznaczonej numerem 7.1.3, w wydaniu zarówno dla Mac OS X jak i Windows. K. Finisterre i LMH umieścili na stronie projektu instrukcje, jak ograniczyć zagrożenie - sugerują oni przy tym, że najskuteczniejszą metodą jest wyłączenie obsługi adresów rtsp:// w odtwarzaczu QuickTime lub po prostu odinstalowanie go.

Podobne zagrożenie niesie luka w odtwarzaczu VLC, tyle że w tym przypadku problem dotyczy spreparowanych adresów udp:// (User Datagram Protocol).

Jak już informowaliśmy, prowadzona przez obu informatyków akcja ma na celu uświadomienie zagrożenia, jakie czyha na użytkowników systemów Mac OS X ze strony złośliwego oprogramowania. Wielu ekspertów sądzi bowiem, iż opinia jaka przylgnęła do wyprodukowanego przez Apple OS-a, jako systemu bezpieczniejszego niż Windows, wynika po prostu z faktu niewielkiej popularyzacji Mac OS w porównaniu z "oknami".

Tymczasem w niecałe 24 godziny po opublikowaniu informacji o błędzie w QuickTime, były pracownik koncernu Apple, Landon Fuller, postanowił "częściowo w ramach ćwiczeń umysłu, częściowo w ramach służby publicznej" (jak pisze na swojej stronie), przygotowywać łaty dla każdej z wykrytych i opisanych przez K. Finisterre i LMH błędów. Obiecał on, iż spróbuje dostosować się przy tym od cyklu "Month of Apple Bugs" i będzie zamieszczał w Sieci po jednym patchu dziennie.

Warto odwiedzić

- Month of Apple Bugs

- strona Landona Fullera

- informacje o protokole RTSP


Zobacz również