Patch Apple Bug QuickTime nascosto nel libro

Apple ha rilasciato patch per il suo software QuickTime e iTunes, che risolve criticità di sicurezza e un bug che è stato accennato all'inizio di quest'anno in un libro sull'hacking di computer Macintosh.

Gli aggiornamenti risolvono 10 vulnerabilità QuickTime e un singolo bug in iTunes. I difetti riguardano sia gli utenti Windows che Mac e sono stati corretti nelle versioni di QuickTime 7.6.2 e iTunes 8.2, pubblicati lunedì.

La maggior parte dei bug non erano noti pubblicamente prima degli aggiornamenti di oggi, quindi è improbabile che siano stati sfruttati da cyber-criminali. Tuttavia, si scopre che un difetto - un bug nel modo in cui QuickTime legge i file che sono compressi usando lo standard di compressione JPEG 2000 (JP2) - è stato parzialmente divulgato nel libro di Charlie Miller e Dino Dai Zovi, "The Mac Hacker's Handbook, "pubblicato nel mese di marzo.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

In un'intervista lunedì, Miller ha detto di aver inserito le istruzioni per trovare l'errore in una sezione del libro che descrive come trovare i difetti nel software di Apple. "Se avessi seguito tutti i passaggi, avresti trovato … l'insetto", disse. "Non ho mostrato il bug, ma ho dato la ricetta su come trovarlo."

Miller ha rivelato durante una conferenza alla conferenza CanSecWest di marzo che aveva nascosto le istruzioni per trovare il difetto nel suo libro. Dopo che i membri del team di sicurezza di Apple si sono rivolti a lui per discutere del problema, ha consegnato il codice di exploit, ha detto lunedì.

Per coincidenza, un altro hacker Mac, Damian Put, ha venduto lo stesso errore un mese dopo a TippingPoint di 3Com divisione, che ha anche segnalato il problema ad Apple. Anche se TippingPoint non ha detto quello che ha pagato per il difetto, le aziende in genere pagano migliaia di dollari per bug come questo. Le liste di libri di Miller e Dai Zovi per US $ 50.

Sebbene Put abbia usato una tecnica diversa da Miller e Dai Zovi per trovare il problema, TippingPoint non sapeva di aver acquistato il bug in "Il manuale del Mac Hacker" fino a quando Apple non informò circa una settimana fa, secondo il responsabile della ricerca sulla sicurezza di TippingPoint, Pedram Amini.

Non è insolito che due hacker scoprano lo stesso bug, ha detto Amini. Recentemente tre ricercatori separati hanno presentato errori identici di Internet Explorer in un periodo di sei mesi. Tuttavia, ha aggiunto, "Se avessimo letto il libro prima di ricevere questo problema da Damian, probabilmente non avremmo fatto un'offerta."

Nel suo advisory sulla sicurezza, Apple ha accreditato sia Miller che Put alla ricerca del problema.

Oltre alla correzione per la sicurezza, la versione di iTunes 8.2 include il supporto per l'imminente software iPhone 3.0, che dovrebbe essere presentato alla Worldwide Developer Conference di Apple la prossima settimana a San Francisco.