Użytkownicy QuickTime'a zagrożeni

Internetowi przestępcy od kilku dni próbują atakować komputery z zainstalowanym odtwarzaczem multimedialnym QuickTime firmy Apple - alarmują specjaliści z firmy Symantec. Przeprowadzenie ataku jest możliwe, ponieważ w zabezpieczeniach aplikacji znajduje się poważny błąd (wykryto go pod koniec listopada).

Apple na razie nie udostępnił żadnego uaktualnienia rozwiązującego problem. Błąd związany jest z obsługą protokołu RTSP (Real Time Streaming Protocol) - jednego ze standardów strumieniowego przesyłania materiałów audio-wideo. Luka, która została wykryta przez polskiego specjalistę ds. bezpieczeństwa, Krystiana Kloskowskiego, pozwala na nieautoryzowane uruchomienie w systemie szkodliwego kodu (więcej informacji na ten temat znaleźć w tekście "Błąd w QuickTime'ie naraża użytkowników Windows").

Z analiz przedstawicieli Symanteka wynika, że przestępcy dysponują już exploitem, umożliwiającym przeprowadzenie zautomatyzowanego ataku na komputer z zainstalowanym QuickTime'm - wystarczy do tego skłonienie użytkownika do odwiedzenia odpowiednio spreparowanej strony WWW lub uruchomienia pliki (np. załączonego do wiadomości e-mail). Zaobserwowane do tej pory ataki skierowane są przeciwko QT zainstalowanemu w środowisku Windows - aczkolwiek luka dotyczy również wersji dla Mac OS X, niewykluczone więc, że wkrótce mogą nastąpić również ataki przeciwko komputerom z jabłkiem na obudowie. Symantec ostrzega, że system z QuickTime'm jest podatny na atak niezależnie od tego, z jakiej przeglądarki internetowej korzysta jego użytkownik - błąd może zostać wykorzystany zarówno za pośrednictwem Internet Explorera i Firefoksa, jak i Opery czy Safari.

Do tej pory wykryto dwa podstawowe typy ataku. Na pierwszy narażeni są internauci odwiedzający jedną z kilku witryn pornograficznych - podczas otwierania strony kontrolowanej przez przestępców przeglądarka zostaje automatycznie przekierowana na inną witrynę, która instaluje w systemie program o nazwie loader.exe (może on ukrywać się w pliku o nazwie metasploit.exe, asasa.exe lub syst.exe). Ten plik sam w sobie nie jest groźny - jednak po zainstalowaniu się pobiera on dodatkowe komponenty - m.in. rootkit o nazwie Hacktool, który może posłużyć do przejęcia pełnej kontroli nad systemem.

Drugi sposób ataku jest wciąż analizowany przez Symatneka. Na razie wiadomo, że również w tym przypadku użytkownik jest automatycznie przekierowywany na stronę, na której uruchamiane jest złośliwe oprogramowanie.

Nie wiadomo na razie, czy i kiedy Apple udostępni poprawkę rozwiązującą problem. Dopóki to nie nastąpi, Symantec zaleca administratorom zablokowanie dostępu do serwerów wykorzystywanych w atakach - chodzi o adresy IP: 85.255.117.212, 85.255.117.213, 216.255.183.59, 69.50.190.135, 58.65.238.116 oraz 208.113.154.34. Sprawa jest na tyle poważna, że sugerowanym przez Symanteka alternatywnym rozwiązaniem problemu jest odinstalowanie QuickTime'a do czasu pojawienia się "załatanej" wersji.


Zobacz również