Lover å avsløre mange hull i Apple

Et hull i Quicktime for Mac og Windows innleder en måned der hackere lover å avsløre Apple.

2. jan. 2007 - 09:41

En gruppe hackere ledet av psevdonymet LMH har kåret januar 2007 til «Month of Apple Bugs» (MoAB). Det er den samme gruppen som tidligere har stått bak «Month of Browser Bugs» og «Month of Kernel Bugs» i henholdsvis juli og november i fjor.

LMH samarbeider om MoAB med IT-sikkerhetsekspert Kevin Finisterre i firmaet Digital Munition. De to hevder å ha samlet tilstrekkelig mange hittil ukjente sikkerhetshull i Apple- og Mac-produkter til å kunne publisere en ny sårbarhet hver dag.

Først ute er en sårbarhet i Quicktime, multimedieplattformen til Apple som også er utbredt blant Windows-brukere.

Det dreier seg om en feil i hvordan Quicktime håndterer RTSP eller «real time streaming protocol», altså protokollen for avspilling av lyd og video fra et nettsted. LMH og Finisterre viser hvordan man kan lage en lang lenke som starter med «rtsp://» og som lar angriperen kjøre vilkårlig programvare på offerets PC eller Mac.

Selve lenken behøver ikke være synlig: Den kan nedfelles i video som starter automatisk straks man går til et nettsted. Den kan også gjemmes i Javascript eller Macromedia Flash-kode.

I en kommentar til Washington Post, sier teknologisjef Johannes Ullrich i SANS Internet Storm Center at Quicktime-hullet som LMH påviser, utgjør en alvorlig trussel mot både Windows- og Mac-brukere. Mac-brukere er sårbare selv om de ikke har administratorrettigheter til sin maskin, og risikerer å få installert plager som typisk assosieres med Windows, som zombieklienter og tasteloggere.

Quicktime er installert hos mange millioner Windows- og Mac-brukere. Sårbarheten gjelder versjon 7.1.3 for begge plattformer, og antas å gjelde også tidligere utgaver.

Den eneste måten å gardere seg hundre prosent på, er å hindre Quicktime fra spille streaming. Gå inn i «preferanser» eller «innstillinger» og klikk på «avansert». Der klikker du på «mime settings» og inaktiverer boksen «streaming».

Apple har hittil ikke kommentert verken Quicktime-hullet eller MoAB-initiativet.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.