Apple Patches Ошибка QuickTime, которая была скрыта в книге

Apple выпустила исправления для его программное обеспечение QuickTime и iTunes, устраняющее критические недостатки безопасности наряду с ошибкой, которая впервые была намечена в начале этого года в книге о взломе компьютера Macintosh.

Обновления исправляют 10 уязвимостей QuickTime и одну ошибку в iTunes. Недостатки затрагивают как пользователей Windows, так и Mac и были исправлены в выпусках QuickTime 7.6.2 и iTunes 8.2, опубликованных в понедельник.

Большинство ошибок не были общеизвестны до сегодняшних обновлений, поэтому маловероятно, чтобы они были использованы кибер-преступники. Однако выясняется, что один изъяны - ошибка в способе, которым QuickTime читает файлы, сжатые с использованием стандарта сжатия JPEG 2000 (JP2) - частично раскрывается в книге Чарли Миллера и Дино Дай Зови «Справочник Mac Hacker's Handbook, выпущен в марте.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

В интервью в понедельник Миллер сказал, что он дал инструкции для поиска ошибки в разделе книги, в котором описывается, как найти недостатки в программном обеспечении Apple. «Если бы вы следовали всем шагам, которые вы нашли … ошибка, - сказал он. «Я не показывал ошибку, но я дал рецепт того, как ее найти».

Миллер раскрыл во время разговора на конференции CanSecWest в марте, что у него скрытые инструкции по обнаружению недостатка в его книге. После того, как сотрудники команды безопасности Apple подошли к нему на конференции, чтобы узнать о проблеме, он передал код эксплойта, сказал он в понедельник.

Кстати, еще один хакер Mac, Damian Put, продал тот же недостаток через месяц в TippingPoint 3Com подразделение, которое также сообщило об этом Apple. Хотя TippingPoint не сказал, что он заплатил за недостаток, компании обычно платят тысячи долларов за такие ошибки. Книга Миллера и Дай Зови насчитывает 50 долларов США.

Хотя Поттер использовал другую технику от Миллера и Дай Зови, чтобы найти проблему, TippingPoint не знал, что купил ошибку в «Руководстве Mac Hacker's Handbook», пока Apple не сообщила это примерно неделю назад, по словам аналитика безопасности TippingPoint, Педрама Амини.

Для двух хакеров это не редкость обнаружить ту же ошибку, сказал Амини. Недавно три отдельных исследователя представили идентичные недостатки Internet Explorer в течение шести месяцев. Однако он добавил: «Если бы мы прочитали книгу до получения этого вопроса от Дамиана, мы бы, вероятно, не сделали бы предложение».

В своем решении по безопасности Apple приписала Миллеру и Путу поиск этой проблемы.

В дополнение к исправлению безопасности выпуск iTunes 8.2 включает поддержку предстоящего программного обеспечения для iPhone 3.0, которое, как ожидается, будет представлено на Всемирной конференции разработчиков Apple на следующей неделе в Сан-Франциско.