21:41
15/1/2010

[0day] Luka w QuickTime!

Prawie wszystkie programy do odtwarzania plików .mov są podatne na atak, a co gorsza, błąd dotyka także przeglądarek internetowych! Wygląda na to, że ostatni tydzień należy nazwać tygodniem 0day’ów ;-)

Jak twierdzi odkrywca błędu, odpowiednio spreparowany plik powoduje problemy z pamięcią i najprawdopodobniej możliwe jest wykonanie kodu, zarówno lokalne jak i zdalne (ponieważ bład dotyka również przeglądarki internetowe).

Lista podatnych na atak aplikacji

Podatne na atak programy wbudowane w system Apple OSX:

  • Finder.app
  • Garageband 09
  • Grapher.app
  • iMovie 8.0
  • iPhoto 8.0
  • iTunes 9.0.1
  • iWeb
  • Keynote 5.0.3 (791)
  • Numbers 2.0.3 (332)
  • Pages 4.0.3 (766)
  • Safari 4.0.3
  • Quicktime Player 10

Aplikacje firm trzecich (dalej z systemu OS X):

  • Cellulo 2.0.2
  • Excel 2008
  • HexEdit 2.2
  • Mozilla Firefox 3.5.3(OSX)
  • Powerpoint 2008
  • VLC 1.0.2 (OSX)
  • WidescreenPlayer
  • Word 2008

Aplikacje na Windows XP Service Pack 3 podatne na atak:

  • iTunes 9.0.1.8
  • Quicktime 7.3.4
  • MediaPlayerClassic 6.4.9.1

Ponieważ błąd znajduje się w bibliotece QuickTime, najprawdopodobniej powyższa lista nie jest kompletna, a na atak podatna jest każda aplikacja korzystająca z w/w biblioteki do obsługi formatu QuickTime.

Według odkrywcy błedu, program VLC 1.0.2 dla Windows wydaje się nie być podatny na atak. Firefox 3.5.3 dla Windows wyłożył się ponoć kilka razy, ale nie zawsze dzieją się z nim złe rzeczy…

QuickTime Exploit (Proof of Concept)

Znalazca błędu udostępnił exploit PoC, obrazujący działanie dziury. Zalecamy ostrożność w eksperymentach ;) Gdybyście odkryli inne podatne/niepodatne aplikacje, dajcie znać w komentarzach.

Aktualizacja [20.01.2010]
grafmarr zwraca uwagę w komentarzach, że błąd, którego dotyczy opisywany przez nas i ujawniony w styczniu 2010 exploit, był znany Apple od października i został już załatany. Jak jednak wytłumaczyć to, żę mój OS X, ze wszystkimi update’ami dalej crashuje po potraktowaniu go powyższym exploitem? :>

Przeczytaj także:

12 komentarzy

Dodaj komentarz
  1. Ciekawym, jak z windowsową wersją MPlayera (którego używam w postaci SMPlayera), wydaje mi się, że będzie podobnie jak z VLC?

  2. @Jurgi: mplayer historycznie ma dwa dekodery Quicktime – jeden korzysta z oryginalnych bibliotek QuickTime’a (nawet wersja linuksowa – autorzy wykorzystali kawałki kodu Wine), drugi zaś jest napisanym do zera własnym, “natywnym” dekoderem (tkwiącym obecnie, o ile pamiętam, w bibliotece FFmpeg). Domyślnie preferowanym dekoderem jest ten drugi, ze względów wydajnościowych. Tym samym, szansa na eksploitowalność MPlayera/SMPlayera jest mniej więcej przyzerowa ;)

  3. “Podatne na atak programy wbudowane w system Apple OSX”
    Wbudowane?
    Ja polowy z tych aplikacji nie mam ;). (Nie mam iLife i iWorka :))

  4. Piotr – ale jak to :) ? Przecież iLife jest instalowany na każdym sprzedawanym maku… No chyba, że masz hackintosha ;)

  5. @radek: Tak! Zgadles! Pisalem o hackintoshu :).
    Chociaz na Macu po reinstalacji torrentowej kopii DVD tez nie mam iLife…

  6. Hmm… No chyba, że tak – bo iLife jest zainstalowany na wszystkich makach, ale nie jest sam w sobie wbudowany w OS X (drobny błąd w tłumaczeniu).

    Zastanawia mnie jak niebezpieczny jest ten błąd – bo w tekście jest napisane o *prawdopodobieństwie* możliwości wykonania kodu, a ja nie widzę w OS X możliwości zablokowania QuickTime’a (bez usuwania jego i jego bibliotek, of course). Chociaż zablokowanie plików mov w przeglądarce powinno wystarczyć.

  7. obawiam sie radex ze nie masz racji, dla przykladu – moj mac z leopardem nie posiada iLife.
    co wiecej, na stronach Apple masz informacje podaną wprost – “kup” iLife :)

  8. Zwracam uwagę autorowi tego wpisu, że opisany problem został wprawdzie opublikowany 15 stycznia 2010 r., ale dotyczył stanu systemu Mac OS X 10.6.1 i oprogramowania z października 2009.
    Apple już 2 listopada wydało poprawkę systemu Mac OS X 10.6.2 i uaktualnienie zabezpieczeń 2009-006, które wspomniany problem załatały.
    Jeśli chodzi o pojawiającą się w komentarzach sprawę pakietu iLife, czy jest w systemie Mac OS X, czy go nie ma. Otóż jest to tak, że pakiet programów iLife nie jest częścią składową systemu Mac OS X. Pakiet jest preinstalowany tylko na sprzedawanych komputerach domowych (Macmini, iMac i Macbook), nie jest preinstalowany na komputerach serii Pro. Analogicznie, na płytach DVD z systemem dostarczanych razem z komputerami domowymi znajduje się odrębny instalator pakietu iLife, a na DVD z systemem dostarczanych razem z komputerami serii Pro instalatora pakietu iLife nie ma. Również wersja pudełkowa systemu Mac OS X kupowana bez komputera nie posiada instalatora pakietu iLife.

  9. Grafmarr – dzięki za wyjaśnienia, zaktualizowałem wpis

  10. Ad vocem tego, że mimo zainstalowania wszystkich aktualizacji, następuje crash w systemie po potraktowaniu go powyższym exploitem. Nie znam przyczyny. U mnie na iMac’u z 2009 roku ten problem nie występuje (był robiony update systemu Mac OS X 10.6 z wersji 10.5.8), nie występuje również w domu na iMac’u z 2008 roku (tutaj system 10.6 został zainstalowany “na czysto”). Jeśli u Ciebie taki problem nadal występuje, to proponuję jego zgłoszenie na Applefeedback. Być może występuje on w jakichś szczególnych okolicznościach? Inna sprawa, że nie wiadomo, czy może u Ciebie spowodować jakieś przejęcie kontroli nad systemem?

  11. grafmarr: odpisałem Ci też na AB, ale zapytam jeszcze tutaj: możesz mi proszę podsunąć linka, do strony na której jest napisane, że to dokładnie ten błąd Apple załatało w updacie 2 listopada 09? Szukam jakiegoś punktu, żeby potwierdzić, że ten 0day to nie 0day ;)

  12. Linka podałem już wcześniej na AB. Czy został załatany dokładnie akurat ten problem to trudno jednoznacznie stwierdzić tylko na podstawie opisów. W podanym przez Ciebie źródle nie ma określonego identyfikatora CVE dla tego problemu.
    W aktualizacji systemu Mac OS X 10.6.2 i uaktualnieniu zabezpieczeń 2009-006 pod ten problem podchodzą: CVE-2009-2202, CVE-2009-2799, CVE-2009-2203, CVE-2009-2798.
    Jednak jak napisałem wcześniej u mnie ten problem na w pełni zaktualizowanym systemie i programach dodatkowych nie występuje.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: