• Thứ Sáu, 17/09/2010 11:18 (GMT+7)

    Apple vá các lỗi nhiều tháng tuổi trong QuickTime

    Bạch Đình Vinh
    Hôm thứ Tư 15/9/2010, Apple đã vá lỗ hổng nghiêm trọng trong QuickTime. Lỗi này đã được một chương trình thưởng tiền phát hiện lỗi báo cáo với công ty từ nhiều tháng trước.

    Bản cập nhật QuickTime 7.6.8 chỉ dành cho Windows, sửa một cặp lỗ hổng trong trình chơi đa phương tiện (Media Player) này. Trong đó, đáng chú ý nhất là bản vá lỗi cho plug-in QuickTime được trình duyệt Internet Explorer của Microsoft sử dụng.

    Hôm thứ Hai 30/8/2010, nhà nghiên cứu Ruben Santamarta người Tây Ban Nha đã công bố thông tin về lỗ hổng trong plug-in QuickTime cho IE, có thể bị tin tặc sử dụng để chiếm quyền điều khiển các máy cài Windows XP, Vista hoặc Windows 7 đang chạy IE với các điều khiển ActiveX QuickTime.

    Ông Santamarta cho biết, lỗ hổng là lỗi của Apple, bởi vì các nhà phát triển của công ty đã không chú ý làm sạch mã cũ. Ông cũng đăng tải mã tấn công trên mạng Internet, vượt qua 2 công nghệ phòng thủ quan trọng mà Microsoft đã bổ sung vào Windows là ASLR (address space layout randomization) và DEP (data execution prevention).

    Một ngày sau khi ông Santamarta công bố phát hiện của mình, chi nhánh TippingPoint của HP thông báo rằng họ đã báo cáo lỗi giống hệt cho Apple vào ngày 30/6/2010. TippingPoint chỉ trích Apple vì không sửa chữa lỗ hổng QuickTime trước khi ông Santamarta công khai nó.

    QuickTime 7.6.8 cũng sửa vấn đề "tấn công nạp DLL" từng được công khai trong tháng 8/2010. Lỗi trao cho tin tặc một cách để “trưng dụng” PC bằng cách lừa ứng dụng nạp file độc hại với cùng tên như DLL cần thiết.

    Có thể tải QuickTime 7.6.8 về từ website của Apple cho Windows XP, Windows Vista và Windows 7. Những người dùng Windows đang chạy QuickTime sẽ được công cụ Apple Software Update cảnh báo về phiên bản QuickTime 7.6.8.
     

    Từ khóa: Apple, QuickTime
    Nguồn: Computerworld, 15/9/2010