English

SE-2012-01 Biuletyn prasowy (2)

25 Czerwca 2012, Poznań, Polska

Security Explorations zdecydowało upublicznić szczegóły techniczne oraz kod ilustrujący dla błędu bezpieczeństwa odkrytego w oprogramowaniu Apple QuickTime. Posunięcie to jest odpowiedzią na analizę zgłoszonego błędu i jego ocenę przez firmę Apple jako "mechanizmu zwiększającego bezpieczeństwo", a nie błąd bezpieczeństwa [1].

Security Explorations nie zgadza się z wynikami analizy dokonanej przez Apple. Firma nie popiera również stosowania polityki "cichych poprawek" [2].

Błąd jaki został zgłoszony firmie Apple w dniu 12 Kwi 2012 umożliwia obejście dwóch mechanizmów bezpieczeństwa w kodzie firmy. Błąd ten (numer 22) prowadzi również do poważnego pogwałcenia zasad bezpieczeństwa środowiska maszyny wirtualnej Java. Kombinacja odkrytego błędu ze słabością numer 15 dotyczącą oprogramowania Java SE [3] pozwala na całkowite przełamanie mechanizmów bezpieczeństwa Java w środowisku w pełni zaktualizowanego systemu Windows OS z zainstalowanymi najnowszymi wersjami oprogramowania Java SE (1.6.0_33-b03) oraz Apple QuickTime (7.72.80.56).

Atak na oprogramowanie Apple QuickTime ilustruje częsty trend w atakach na technologie takie jak Java VM, gdzie zwykle konieczne jest połączenie więcej niż jednego błędu bezpieczeństwa w celu osiągnięcia kompletnego ataku. Tym bardziej zdumiewające jest stanowisko producenta umniejszające znaczenie błędu odkrytego w jego kodzie, który może wnieść istotny wkład w przeprowadzenie poważnego ataku wymierzonego w użytkowników jego oprogramowania.

Security Explorations publikuje następujące materiały w nadziei, że szeroka publicznośc będzie mogła poddać niezależnej analizie błąd w oprogramowaniu Apple QuickTime, jak też ocenić stanowiska obu firm:

  • krótki raport techniczny prezentujący szczegóły błędu, jego znaczenie oraz podsumowanie odpowiedzi producenta, plik PDF, 266KB (download)
  • kod ilustrujący błąd numer 22, ZIP file, 18KB (download)

Referencje:

  1. [1] SE-2012-01 Vendors status (http://www.security-explorations.com/en/SE-2012-01-status.html)
  2. [2] About the security content of Java for OS X 2012-004 and Java for Mac OS X 10.6 Update 9 (http://support.apple.com/kb/HT5319)
  3. [3] SE-2012-01 Project, Security Vulnerabilities in Java SE (http://www.security-explorations.com/en/SE-2012-01.html)


Copyright 2008-2017 Security Explorations. All Rights Reserved.