QuickTime i Firefox - niebezpieczna para

Petko Petkov, mieszkający w Wielkiej Brytanii specjalista od testowania zabezpieczeń, odkrył niebezpieczny błąd w odtwarzaczu multimedialnym QuickTime firmy Apple. Znaleziona przez Petkova luka jest szczególnie niebezpieczna, jeśli użytkownik korzysta jednocześnie z QuickTime'a oraz przeglądarki Firefox.

Błąd związany jest z obsługiwanym przez odtwarzacz Apple'a formatem Media Link (pliki .qtl). Petko Petkov odkrył, że podczas próby uruchomienia osadzonego na stronie WWW "złośliwego" pliku QuickTime nie sprawdza, czy plik ów nie zawiera dodatkowego, niebezpiecznego kodu (np. JavaScript). "W praktyce luka ta pozwala na zrobienie z przeglądarką wszystkiego, czego zapragnie "napastnik". Może on doinstalować do niej backdoora, a jeśli przeglądarka będzie uruchomiona z przywilejami administratora - to także zainstalować w systemie dowolny program" - tłumaczy Petkov.

Ekspert dodaje, że taki atak może zostać przeprowadzony zarówno, jeśli użytkownik korzysta z Internet Explorera, jak i Firefoksa - jednak w przypadku open-source'owej przeglądarki atakujący będzie miał znacznie większe możliwości (jest to związane z dość restrykcyjnymi zasadami uruchamiania skryptów lokalnych w MSIE). Z komentarzy innych specjalistów wynika, że problem dotyczy również Firefoksa i QuickTime uruchomionych w Mac OS X; pojawiły się również głosy, że na atak podatna jest także Opera (aczkolwiek, podobnie jak MSIE, w mniejszym stopniu niż Firefox).

Window Snyder, szefowa działu bezpieczeństwa Mozilla Foundation, potwierdziła, że do organizacji dotarły doniesienia o problemie i że jej programiści pracują już nad rozwiązaniem. "Wydaje się, że jest to bardzo poważna sprawa. Współpracujemy w tym zakresie z Apple i badamy, w jakim stopniu problem leży po naszej stronie" - mówi Snyder. Przedstawicielka Mozilli zaznaczyła, że sytuacja może się wkrótce pogorszyć, ponieważ przygotowany i opublikowany przez Petkova kod demonstrujący działanie błędu może zostać wkrótce przekształcony przez przestępców w skuteczne narzędzie do atakowania komputerów.

Warto wspomnieć, że Petkov wykrył lukę w zabezpieczeniach QuickTime'a już blisko rok temu - dwa razy zgłaszał ją do Apple, jednak firma nie odpowiedziała na jego alerty. Koncern z Cupertino zabrał głos dopiero teraz - gdy okazało się, że w bład jest poważniejszy, niż się początkowo wydawało. Apple wydał oświadczenie, w którym zapewnia, że problem jest analizowany i zostanie wkrótce rozwiązany.


Zobacz również