QuickTime i Firefox - niebezpieczna para
Petko Petkov, mieszkający w Wielkiej Brytanii specjalista od testowania zabezpieczeń, odkrył niebezpieczny błąd w odtwarzaczu multimedialnym QuickTime firmy Apple. Znaleziona przez Petkova luka jest szczególnie niebezpieczna, jeśli użytkownik korzysta jednocześnie z QuickTime'a oraz przeglądarki Firefox.
Błąd związany jest z obsługiwanym przez odtwarzacz Apple'a formatem Media Link ( pliki .qtl ). Petko Petkov odkrył, że podczas próby uruchomienia osadzonego na stronie WWW "złośliwego" pliku QuickTime nie sprawdza, czy plik ów nie zawiera dodatkowego, niebezpiecznego kodu ( np. JavaScript ). _ "W praktyce luka ta pozwala na zrobienie z przeglądarką wszystkiego, czego zapragnie "napastnik". Może on doinstalować do niej backdoora, a jeśli przeglądarka będzie uruchomiona z przywilejami administratora - to także zainstalować w systemie dowolny program" _ - tłumaczy Petkov.
Ekspert dodaje, że taki atak może zostać przeprowadzony zarówno, jeśli użytkownik korzysta z Internet Explorera, jak i Firefoksa - jednak w przypadku open-source'owej przeglądarki atakujący będzie miał znacznie większe możliwości ( jest to związane z dość restrykcyjnymi zasadami uruchamiania skryptów lokalnych w MSIE ). Z komentarzy innych specjalistów wynika, że problem dotyczy również Firefoksa i QuickTime uruchomionych w Mac OS X; pojawiły się również głosy, że na atak podatna jest także Opera ( aczkolwiek, podobnie jak MSIE, w mniejszym stopniu niż Firefox ).
Window Snyder, szefowa działu bezpieczeństwa Mozilla Foundation, potwierdziła, że do organizacji dotarły doniesienia o problemie i że jej programiści pracują już nad rozwiązaniem. _ "Wydaje się, że jest to bardzo poważna sprawa. Współpracujemy w tym zakresie z Apple i badamy, w jakim stopniu problem leży po naszej stronie" _ - mówi Snyder. Przedstawicielka Mozilli zaznaczyła, że sytuacja może się wkrótce pogorszyć, ponieważ przygotowany i opublikowany przez Petkova kod demonstrujący działanie błędu może zostać wkrótce przekształcony przez przestępców w skuteczne narzędzie do atakowania komputerów.
Warto wspomnieć, że Petkov wykrył lukę w zabezpieczeniach QuickTime'a już blisko rok temu - dwa razy zgłaszał ją do Apple, jednak firma nie odpowiedziała na jego alerty. Koncern z Cupertino zabrał głos dopiero teraz - gdy okazało się, że w bład jest poważniejszy, niż się początkowo wydawało. Apple wydał oświadczenie, w którym zapewnia, że problem jest analizowany i zostanie wkrótce rozwiązany.
