Apple patcht QuickTime Bug, der in Buch versteckt war

Apple hat Patches für Die QuickTime- und iTunes-Software behebt kritische Sicherheitslücken und einen Bug, der Anfang des Jahres in einem Buch über Hacker auf Macintosh-Rechnern zum ersten Mal angedeutet wurde.

Die Updates beheben 10 QuickTime-Sicherheitslücken und einen einzigen Fehler in iTunes. Die Fehler betreffen sowohl Windows- als auch Mac-Benutzer und wurden in den am Montag veröffentlichten Versionen QuickTime 7.6.2 und iTunes 8.2 gepatcht.

Die meisten Fehler waren vor den heutigen Updates nicht öffentlich bekannt, daher ist es unwahrscheinlich, dass sie ausgenutzt wurden Cyberkriminelle. Es stellt sich jedoch heraus, dass ein Fehler - ein Fehler in der Art, wie QuickTime Dateien liest, die mit dem Kompressionsstandard JPEG 2000 (JP2) komprimiert wurden - teilweise in Charlie Miller und Dino Dai Zovis Buch "The Mac Hacker's Handbook" veröffentlicht wurde. "Im März veröffentlicht.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

In einem Interview am Montag sagte Miller, er habe Anweisungen zum Auffinden des Fehlers in einem Abschnitt des Buches gegeben, der beschreibt, wie Fehler gefunden werden können in Apples Software. "Wenn du alle Schritte befolgt hättest, die du finden würdest … der Käfer", sagte er. "Ich habe den Fehler nicht gezeigt, aber ich habe das Rezept dafür gegeben, wie ich ihn finden kann."

Miller gab während eines Vortrags bei der CanSecWest-Konferenz im März bekannt, dass er Anweisungen versteckt habe, um den Fehler in seinem Buch zu finden. Nachdem Mitglieder des Apple-Sicherheitsteams ihn auf der Konferenz angerufen hatten, um nach dem Problem zu fragen, übergab er den Exploit-Code, sagte er am Montag.

Zufälligerweise verkaufte ein anderer Mac-Hacker, Damian Put, denselben Fehler einen Monat später an TippingPoint von 3Com Division, die das Problem auch an Apple gemeldet hat. Obwohl TippingPoint nicht sagen würde, was es für den Fehler bezahlt hat, zahlen Unternehmen in der Regel Tausende von Dollar für Bugs wie diese. Miller und Dai Zovi Buchlisten für US $ 50.

Obwohl Put eine andere Technik von Miller und Dai Zovi verwendet, um das Problem zu finden, wusste TippingPoint nicht, dass es den Fehler in "The Mac Hacker's Handbook" gekauft hatte, bis Apple informiert "Es ist nicht ungewöhnlich, dass zwei Hacker denselben Fehler entdecken", sagte Amini. Kürzlich haben drei verschiedene Forscher innerhalb eines Zeitraums von sechs Monaten identische Internet Explorer-Fehler gemeldet. Er fügte jedoch hinzu: "Hätten wir das Buch gelesen, bevor wir dieses Problem von Damian erhalten hätten, hätten wir wahrscheinlich kein Angebot gemacht."

Apple hat Miller und Put in ihrem Sicherheitsbericht das Finden des Problems zugeschrieben.

Zusätzlich zu dem Sicherheitsupdate enthält die iTunes 8.2-Version Unterstützung für die kommende iPhone 3.0-Software, die nächste Woche auf Apples Worldwide Developer Conference in San Francisco vorgestellt werden soll.