image

Zero-day lek in QuickTime, iTunes en andere mediaspelers

zaterdag 16 januari 2010, 12:48 door Redactie, 9 reacties

Een nieuw ontdekt beveiligingslek in talloze mediaspelers geeft hackers de mogelijkheid om op afstand systemen over te nemen. Het probleem zit in de manier waarop de Quicktime Library misvormde .MOV bestanden verwerkt. Bijna alle programma's die dit soort bestanden verwerken zijn kwetsbaar. Via een online verschenen exploit is het mogelijk om "geheugen corruptie" te veroorzaken, maar ook het uitvoeren van willekeurige code lijkt mogelijk. "Omdat dit probleem ook browsers raakt, lijkt het erop dat de aanvalsvector zowel lokaal als remote is", aldus 'Dr_IDE', de alias van de onderzoeker die het probleem ontdekte.

Zowel Mac OS X als Windows systemen zijn kwetsbaar. Op Mac OS X gaat het onder andere om iTunes, QuickTime, Safari, Garageband, Finder, Firefox, VLC, PowerPoint 2008 en Word 2008. Windows XP systemen met iTunes, QuickTimes en Media Player Classic lopen risico. Bij al deze programma's gaat het om de laatste versie. De VLC mediaspeler is op Windows niet kwetsbaar, wat ook gedeeltelijk voor Firefox 3.5.3 geldt. Het lukte de onderzoeker niet om de opensource browser op betrouwbare wijze te laten crashen. De advisory is op deze pagina te vinden, de exploit staat hier.

Reacties (9)
16-01-2010, 13:33 door Anoniem
En nu?
16-01-2010, 15:32 door Mameomowskwooz
Door Anoniem: En nu?
Voorlopig maar geen films downloaden en kijken, dus je tijd anders besteden...totdat de boel gepatched is.
Je zou in de tussentijd met de PoC kunnen spelen. :-)
16-01-2010, 16:17 door Anoniem
Zal aan mij liggen dan, mij ik zie niks spannends met Safari 4.03, Finder of Quicktime (of t zou de text "Loading Movie") moeten zijn.
Iemand hier die het op OSX 10.6.2 wel aan t klapperen krijgt ?
16-01-2010, 19:37 door Anoniem
Hmmm, niet meer muziek luisteren / films kijken, niet meer IE, straks mogen we niet eens meer internetten omdat er een lek in zit :P
16-01-2010, 21:38 door Anoniem
iTunes en Firefox knalden op mijn Mac er wel uit. Quicktime bleef laden, en Finder deed niet moeilijk...
18-01-2010, 13:11 door Rolf van Gent
Wat is nu weer een zero-day lek??? wie bedenkt nu weer zo'n term?

Je hebt volgens mijn Zero-day protection, dat zijn systemen die zo slim zijn dat ze een aanval op een lek (of die nu al bekend is of niet) tegen kunnen houden....

Wie o wie kan mij vertellen wat Security.nl met een zero-day lek bedoelt??

Kunnen we afspreken:

Vulnerability = Lek
Attack = Attack, een hack, een aanval, een exploit, threat, whatever

Tjezus, en dat voor een Security website
18-01-2010, 16:12 door Anoniem
Een zero-day lek zal dan een lek zijn waarvoor nog geen patch bestaat. Klinkt toch logisch? Waar dus een zero-day attack kan op uitgevoerd worden.
Als een lek een vulnerability is, moet je maar eens "zero-day vulnerability" op google opzoeken. Security.nl is niet de enige die die terminologie gebruikt.

Maar het is wel waar dat het technische niveau van de nieuws-posts niet altijd even hoog is.
19-01-2010, 11:13 door Rolf van Gent
Mss bekijk ik het teveel vanuit een Firewall/IPS perspectief, maar:

Er zit een lek/vulnerability in een stuk software....Die wordt op een gegeven moment ontdekt door het bedrijf wat de s/w (met het lek) produceert of door "de buitenwereld".

Als het bedrijf het zelf ontdekt, dan kunnen zij:
a) niks wereldkundig maken en het zo snel mogelijk oplossen en vervolgens een patch beschikbaar stellen
b) of zij kunnen hun klanten/gebruikers (en daarmee f/w-IPS vendors) op de hoogte brengen zodat zij (met hun f/w & IPS) maatregelen kunnen treffen. En intussen kunnen zij ook proberen n patch te maken. En de f/w-IPS vendors gaan een signature maken

Als de buitenwereld het ontdekt, zit je eigenlijk meteen in scenario b).

Vervolgens gaat de klok tikken, de dagen tellen, welke beveiligingsleverancier heeft als eerste (of na hoeveel dagen) een nieuwe signature voor haar f/w-IPS zodat het lek/ vulnerability niet meer "ge-exploit" kan worden...(er ff gemakshalve van uitgaande dat het kwaadaardige verkeer, de exploit, door de f/w IPS naar binnen komt)

De dagen vanaf de Zero-day gaan eigenlijk alleen over de tijdsduur voor het produceren van een nieuwe signature voor de f/w-IPS. Als je een hele slimme IPS hebt, ;-) dan ben je wellicht meteen beveiligd tegen exploits op het nieuwe lek, en dan heb je zogenaamde Zero-Day protection...

Al met al, de "levensdagen" van het lek worden helemaal niet geteld, (het lek kan wat de f/w-IPS leverancier betreft mss wel tot de einder "der dagen" blijven bestaan), dus een Zero-Day lek is ook onzin.... ;-) Ze zouden denk ik gewoon over een "nieuw ontdekte lek" moeten publiceren, maar dat "bekt" wss minder, vandaar helaas de begripsvervuiling waardoor het nog moeilijker wordt voor een leek om te begrijpen waar security over gaat.

Maar nogmaals, mss zie ik het teveel vanuit mijn "beveiligingsleverancieer" perspectief...
22-01-2010, 12:42 door Anoniem
Goed dat je het wat uitlegt, nu snap ik je meer.

Je spreekt over 'een heel slimme IPS'. Als die zou bestaan, laat je maar weten welke want ik heb er nog geen gevonden. ;-)

En ik vind ook dat er binnen de security over weinig begrippen een concensus bestaat, spijtig genoeg. De ene bron/vendor noemt IPS smartdefense (ondertussen ook niet meer), de andere IDP, IDPS, deep inspection, ...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.