Apple Patches QuickTime-feil som ble skjult i boken

Apple har utstedt patcher for sin QuickTime- og iTunes-programvare, og fikser kritiske sikkerhetsfeil sammen med en feil som først ble antydet tidligere i år i en bok om Macintosh-datamaskinhacking.

Oppdateringene løser 10 QuickTime-sårbarheter og en enkelt feil i iTunes. Feilene påvirker både Windows og Mac-brukere, og har blitt patched i QuickTime 7.6.2 og iTunes 8.2-utgivelsene, publisert mandag.

De fleste av feilene var ikke offentlig kjent før dagens oppdateringer, så det er usannsynlig at de ble utnyttet av cyber-kriminelle. Det viser seg imidlertid at en feil - en feil i måten QuickTime leser filer som komprimeres ved hjelp av JPEG 2000 (JP2) komprimeringsstandard - ble delvis omtalt i Charlie Miller og Dino Dai Zovis bok, "Mac Hacker's Handbook, "Utgitt i mars.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

I et intervju mandag, sa Miller at han satte instruksjoner for å finne feilen i en del av boken som beskriver hvordan man finner feil i Apples programvare. "Hvis du fulgte alle trinnene du ville finne … feilen," sa han. "Jeg viste ikke feilen, men jeg ga oppskriften på hvordan den skulle finnees."

Miller avslørte under en samtale på CanSecWest-konferansen i mars at han hadde skjulte instruksjoner for å finne feilen i sin bok. Etter at medlemmer av Apples sikkerhetsgruppe kontaktet ham på konferansen om å spørre om problemet, ga han over utnyttningskoden, sa han mandag.

Tilfeldigvis solgte en annen Mac-hacker, Damian Put, den samme feilen en måned senere til 3Coms TippingPoint divisjon, som også rapporterte problemet til Apple. Selv om TippingPoint ikke ville si hva det betalte Sett for feilen, betaler selskaper vanligvis tusenvis av dollar for feil som dette. Miller og Dai Zovis bok lister for US $ 50.

Selv om Put brukte en annen teknikk fra Miller og Dai Zovi for å finne problemet, visste TippingPoint ikke at den hadde kjøpt feilen i "The Mac Hacker's Handbook" til Apple var informert Det er omtrent en uke siden, ifølge TippingPoints sikkerhetsforsker, Pedram Amini.

Det er ikke uvanlig at to hackere oppdager den samme feilen, sa Amini. Nylig har tre separate forskere sendt inn identiske feil i Internet Explorer innen en seks måneders periode. Men han la til: "Hadde vi lest boken før du mottok dette problemet fra Damian, ville vi sannsynligvis ikke ha gjort et tilbud."

I sin sikkerhetsrådgivning appellerte Apple både Miller og Put med å finne problemet.

I tillegg til sikkerhetsrettingen inneholder iTunes 8.2-utgaven støtte for den kommende iPhone 3.0-programvaren, som forventes å bli avduket på Apples verdensomspennende utviklerkonferanse neste uke i San Francisco.