V přehrávači QuickTime je kritická chyba, Apple měl na opravu dva měsíce

Bezpečnostní výzkumník publikoval podrobnosti o kritické bezpečnostní chybě v přehrávači QuickTime, kterou lze zneužít ke vzdálenému spuštění kódu. Zranitelný je plug-in QuickTime pro Internet Explorer.


Zranitelnost byla již dříve reportována společnosti TippingPoint (dnes spadá pod HP) v rámci jejího programu Zero Day Iniciative. TippingPoint již 30. června o problému informoval i Apple.

O zveřejnění problému se nyní postaral španělský výzkumník Ruben Santamarta, který publikoval informace o chybě v plug-inu QuickTime pro Internet Explorer. Ke zneužití stačí, aby útočník přiměl uživatele navštívit webové stránky obsahující škodlivý kód. Proti útoku nechrání ani bezpečnostní mechanismy ve Windows 7. Navíc se toto zneužití již stalo i součástí open source balíku Metasploit, který se používá primárně pro bezpečnostní testování, ale pracují s ním s oblibou i útočníci. Útoky jsou tak již v plném proudu.

Aaron Portnoy z TippingPointu uvedl, že k nynějšímu zveřejnění zranitelnosti došlo nezávislou cestou. TippingPoint dává kredit za původní objev někomu, kdo používal přezdívku HBelite. Podle Portnoyho v poslední době přibývá případů, že stejný problém objeví nezávisle na sobě více lidí. TippingPoint dostává takto velké množství reportů opakovaně. Tím se zvyšuje pravděpodobnost, že ještě někdo jiný bude informace publikovat a nebo se sám pokusí o zneužití zranitelnosti.

Výrobci softwaru by proto měli reagovat na informace o chybě co nejrychleji; i když ten, kdo ji nahlásil, zachová mlčenlivost, nejspíš totéž rychle odhalí i někdo další. Portnoy proto na americkém Computerworldu kritizoval Apple za nečinnost – oprava přitom podle něj není v tomto případě vůbec složitá, stačí změnit jediný parametr (zpracování funkce _Marshaled_pUnk).

Portnoy se domnívá, že takových případů bude přibývat. TippingPoint také mění svoji taktiku a snaží se na dodavatele softwaru vyvíjet tlak, který by je přiměl k rychlejšímu záplatování zranitelností. Zatímco v minulosti nezveřejňoval až do vydání opravy o chybě vůbec žádné informace, nyní by chtěl ponechávat výrobcům na záplatu 6 měsíců a poté dát tomu, kdo problém objevil, volnou ruku.

 











Komentáře