Parches de Apple Error de QuickTime que estaba oculto en el libro

Apple emitió parches para su software QuickTime e iTunes, solucionando fallas de seguridad críticas junto con un error que se sugirió por primera vez este año en un libro sobre piratería informática de Macintosh.

Las actualizaciones reparan 10 vulnerabilidades QuickTime y un único error en iTunes. Los defectos afectan tanto a los usuarios de Windows como a los de Mac y han sido actualizados en las versiones QuickTime 7.6.2 y iTunes 8.2, publicadas el lunes.

La mayoría de los errores no eran conocidos públicamente antes de las actualizaciones de hoy, por lo que es poco probable que sean explotados por ciberdelincuentes. Sin embargo, resulta que un error, un error en la forma en que QuickTime lee archivos comprimidos utilizando el estándar de compresión JPEG 2000 (JP2), fue parcialmente divulgado en el libro de Charlie Miller y Dino Dai Zovi, "The Mac Hacker's Handbook, "lanzado en marzo.

[Lectura adicional: Cómo eliminar el malware de su PC con Windows]

En una entrevista el lunes, Miller dijo que puso instrucciones para encontrar el error en una sección del libro que describe cómo encontrar defectos en el software de Apple. "Si siguieras todos los pasos que encontrarás … el error", dijo. "No mostré el error, pero di la receta de cómo encontrarlo".

Miller reveló durante una conferencia en la conferencia CanSecWest en marzo que tenía instrucciones ocultas para encontrar el error en su libro. Después de que los miembros del equipo de seguridad de Apple se acercaron a él en la conferencia para preguntar sobre el problema, le entregó el código de explotación, dijo el lunes.

Casualmente, otro hacker de Mac, Damian Put, vendió el mismo error un mes después a TippingPoint de 3Com división, que también informó el problema a Apple. A pesar de que TippingPoint no dijo lo que pagó. Puso la falla, las compañías generalmente pagan miles de dólares por errores como este. El libro de Miller y Dai Zovi cuesta $ 50.

Aunque Put usó una técnica diferente de Miller y Dai Zovi para encontrar el problema, TippingPoint no sabía que había comprado el error en "The Mac Hacker's Handbook" hasta que Apple informó Hace aproximadamente una semana, según el gerente de investigación de seguridad de TippingPoint, Pedram Amini.

No es inusual que dos hackers descubran el mismo error, dijo Amini. Recientemente, tres investigadores distintos presentaron fallas idénticas de Internet Explorer en un período de seis meses. Sin embargo, agregó: "Si hubiéramos leído el libro antes de recibir este número de Damian, probablemente no hubiéramos hecho una oferta".

En su advertencia de seguridad, Apple acreditó tanto a Miller como a Put al encontrar el problema.

Además del parche de seguridad, el lanzamiento de iTunes 8.2 incluye soporte para el próximo software de iPhone 3.0, que se espera que sea presentado en la Conferencia Mundial de Desarrolladores de Apple la próxima semana en San Francisco.