Apple łata 10 błędów w QuickTime

Koncern Apple udostępnił uaktualnienie dla odtwarzacza multimedialnego QuickTime - usuwa ono z aplikacji aż 10 krytycznych błędów w zabezpieczeniach. Co najmniej jedna z nich była publicznie znana już od trzech miesięcy - opisano ją nawet w wydanej na początku roku książce o włamywaniu się do Mac OS X.

Osiem z załatanych właśnie błędów dotyczy QuickTime'a zarówno w wersji dla Windows, jak i Mac OS X (dwie luki stanowią zagrożenie tylko dla maszyn z Windows XP lub Vista). Warto podkreślić, że Apple nie nazywa żadnego z błędów krytycznym - ale to dlatego, że firma nie stosuje ogólnie przyjętych w branży zasad nazewnictwa luk w oprogramowaniach. Z opisu problemów wynika, że każdy z nich pozwalał na zdalne, nieautoryzowane uruchomienie w systemie złośliwego kodu - a to oznacza, że błąd jest krytyczny. Warto dodać, że jeden z błędów opisano dokładnie w książce The Mac Hacker's Handbook, która ukazała się... w marcu tego roku.

Poniedziałkowy pakiet poprawek to już drugie znaczące uaktualnienie dla QuickTime'a, udostepnione w tym roku przez Apple - w sumie firma usunęła do tej pory w 2009 r. 17 luk ze swojego odtwarzacza. Dla porównania - w całym ubiegłym roku załatano w nim 30 poważnych błędów.

Specjaliści podkreślają, że usunięte właśnie błędy są dość typowe dla Apple - "Oto klasyczne luki, jakich spodziewam się po QuickTime'ie - błędy związane z przetwarzaniem określonych typów plików" - komentuje Andrew Storms, szef działu bezpieczeństwa firmy nCircle Network Security. I faktycznie - wszystkie załatane luki w jakiś sposób związane są z obsługą plików multimedialnych - trzy z parsowaniem klipów wideo, dwa z obsługą grafik w formacie PICT, zaś pozostałe znaleziono w modułach odpowiedzialnych za obsługę plików MS ADPCM (Adaptive Differential Pulse Code Modulation) audio, PhotoShop oraz plikami animacji.

W ostatnich latach Apple usunął dziesiątki takich luk - podobne pakiety poprawek udostępniane były m.in. we wrześniu 2008 r. Wtedy łatano luki związane z obsługą formatu PICT, QTVR (QuickTime Virtual Reality), QuickTime wideo (MOV), H.264 oraz Indeo.

Z Stormsem zgadza się Pedram Amini - menedżer ds. bezpieczeństwa z firmy 3com - Amini podkreśla, że aplikacje takie jak QuickTime, które muszą obsługiwać dużo różnych typów plików, są w naturalny sposób narażony na takie luki. "Ogromna liczba obsługiwanych formatów sprawia, że odtwarzacz Apple ma ogromną "powierzchnię ataku" - może w nim występować wiele dość podobnych błędów, powiązanych z różnymi typami plików" - tłumaczy ekspert z 3com.

Aż sześć z załatanych właśnie błędów zostało zgłoszonych do Apple przez firmę TippingPoint, która prowadzi program skupu informacji o lukach - w ten sposób firma zapobiega niekontrolowanemu publikowaniu szczegółowych informacji o błędach. To dość niecodzienna sytuacja - zwykle nie zdarza się, by firma zdobyła jednocześnie aż tak dużo informacji o błędach w produktach jednego producenta.

Andrew Storms apeluje do użytkowników QuickTime'a, by potraktowali sprawę poważnie i szybko zainstalowali poprawki - mimo iż błędy na razie nie są wykorzystywane do atakowania internautów. Gdyby jednak przestępcy się nimi zainteresowali, to do przeprowadzenia ataku wystarczy podsunięcie użytkownikowi odpowiednio spreparowanego pliku (np. filmu w formacie MOV).

Warto dodać, że Apple załatał również swoje oprogramowanie multimedialne iTunes (pojawiła się właśnie wersja 8.2) - z niego również usunięto krytyczną luką (jedną), związaną z przetwarzaniem adresów URL.

Najszybszym sposobem uaktualnienia aplikacji jest (w przypadku Mac OS X) skorzystanie z systemowego narzędzia aktualizacyjnego lub pobranie nowych wersji ze strony Apple.