Apple Patches QuickTime Bug Na Nakatago sa Aklat

Mga pag-aayos ayusin ang mga kahinaan sa QuickTime at isang bug sa iTunes. Ang mga kapintasan ay nakakaapekto sa parehong mga gumagamit ng Windows at Mac at na-patched sa QuickTime 7.6.2 at iTunes 8.2 na mga paglabas, na inilathala ng Lunes.

Karamihan sa mga bug ay hindi kilala ng publiko bago ang mga update ngayong araw, kaya malamang na hindi sila pinagsamantalahan ng cyber-criminals. Gayunpaman, lumilitaw na ang isang kapintasan - isang bug sa paraan ng QuickTime na nagbabasa ng mga file na naka-compress gamit ang JPEG 2000 (JP2) na pamantayan ng compression - bahagyang binubunyag sa aklat ni Charlie Miller at Dino Dai Zovi, "Ang Mac Handbook ng Mac Hacker, "inilabas Marso.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Sa isang panayam noong Lunes, sinabi ni Miller na naglagay siya ng mga tagubilin para sa paghahanap ng bug sa isang seksyon ng aklat na naglalarawan kung paano makahanap ng mga bahid sa software ng Apple. "Kung sinundan mo ang lahat ng mga hakbang na makikita mo … ang bug," sabi niya. "Hindi ko ipinakita ang bug, ngunit binigyan ko ang recipe kung paano hanapin ito."

Sinabi ni Miller sa isang pahayag sa kumperensya ng CanSecWest noong Marso na siya ay nakatagong mga tagubilin para sa paghahanap ng lamat sa kanyang aklat. Pagkatapos ng mga miyembro ng pangkat ng seguridad ng Apple ay lumapit sa kanya sa kumperensya upang magtanong tungkol sa isyu, ipinasa niya ang code sa pagsasamantala, sinabi niya Lunes.

Nagkataon, ang isa pang Mac hacker, Damian Put, ay nagbebenta ng parehong kapintasan isang buwan mamaya sa 3Com's TippingPoint dibisyon, na iniulat din ang isyu sa Apple. Bagaman hindi sasabihin ng TippingPoint kung ano ang binabayaran nito Para sa kapintasan, ang mga kumpanya ay karaniwang nagbabayad ng libu-libong dolyar para sa mga bug tulad nito. Ang Miller at Dai Zovi ay naglilista ng mga libro para sa US $ 50.

Kahit na ginamit ni Put ang ibang pamamaraan mula sa Miller at Dai Zovi upang mahanap ang isyu, hindi alam ng TippingPoint na binili ang bug sa "The Mac Hacker's Handbook" ito ay tungkol sa isang linggo na ang nakalipas, ayon sa security research manager ng TippingPoint, Pedram Amini.

Hindi karaniwan sa dalawang hacker na matuklasan ang parehong bug, sinabi ni Amini. Kamakailan lamang, tatlong magkakahiwalay na mananaliksik ang nagsumite ng magkatulad na mga depekto sa Internet Explorer sa loob ng anim na buwan na panahon. Gayunpaman, idinagdag niya, "Kung nabasa namin ang libro bago matanggap ang isyung ito mula sa Damian, malamang na hindi kami nagawa ng isang alok."

Sa advisory ng seguridad nito, ipinakilala ni Apple ang Miller at Put sa paghahanap ng isyu. > Bilang karagdagan sa pag-aayos ng seguridad, ang iTunes 8.2 release ay nagsasama ng suporta para sa paparating na software ng iPhone 3.0, na inaasahang ipalabas sa Pandaigdigang Developer Conference ng Apple sa susunod na linggo sa San Francisco.