Apple Patch QuickTime Bug Yang Tersembunyi di Buku

Apple telah mengeluarkan tambalan untuk QuickTime dan perangkat lunak iTunes-nya, memperbaiki kelemahan keamanan penting bersama dengan bug yang pertama kali diisyaratkan awal tahun ini dalam sebuah buku tentang peretasan komputer Macintosh.

Pembaruan memperbaiki 10 kerentanan QuickTime dan satu bug di iTunes. Cacat mempengaruhi pengguna Windows dan Mac dan telah ditambal di QuickTime 7.6.2 dan rilis iTunes 8.2, yang diterbitkan hari Senin.

Sebagian besar bug tidak diketahui publik sebelum pembaruan hari ini, jadi tidak mungkin bahwa mereka dieksploitasi oleh penjahat cyber. Namun, ternyata satu cacat - bug dalam cara QuickTime membaca file yang dikompresi menggunakan standar kompresi JPEG 2000 (JP2) - sebagian diungkapkan dalam buku Charlie Miller dan Dino Dai Zovi, "The Mac Hacker's Handbook, "dirilis pada bulan Maret.

[Bacaan lebih lanjut: Bagaimana cara menghapus malware dari PC Windows Anda]

Dalam sebuah wawancara hari Senin, Miller mengatakan ia menempatkan instruksi untuk menemukan bug di bagian buku yang menjelaskan bagaimana menemukan kekurangan dalam perangkat lunak Apple. "Jika Anda mengikuti semua langkah yang Anda akan temukan … bug itu," katanya. "Aku tidak menunjukkan bug itu, tetapi aku memberi resep bagaimana cara menemukannya."

Miller mengungkapkan selama pembicaraan di konferensi CanSecWest pada bulan Maret bahwa dia telah menyembunyikan instruksi untuk menemukan cacat dalam bukunya. Setelah anggota tim keamanan Apple mendekati dia di konferensi untuk menanyakan tentang masalah ini, dia menyerahkan kode eksploitasi, katanya hari Senin.

Kebetulan, peretas Mac lain, Damian Put, menjual cacat yang sama satu bulan kemudian ke TippingPoint 3Com divisi, yang juga melaporkan masalah ini ke Apple. Meskipun TippingPoint tidak akan mengatakan apa yang dibayar. Taruh cacat, perusahaan biasanya membayar ribuan dolar untuk bug seperti ini. Daftar buku Miller dan Dai Zovi seharga US $ 50.

Meskipun menggunakan teknik yang berbeda dari Miller dan Dai Zovi untuk menemukan masalahnya, TippingPoint tidak tahu bahwa itu telah membeli bug di "The Mac Hacker's Handbook" sampai Apple memberi tahu itu sekitar seminggu yang lalu, menurut manajer penelitian keamanan TippingPoint, Pedram Amini.

Tidak biasa bagi dua peretas untuk menemukan bug yang sama, kata Amini. Baru-baru ini tiga peneliti terpisah mengajukan kekurangan Internet Explorer yang identik dalam periode enam bulan. Namun, ia menambahkan, "Seandainya kami membaca buku sebelum menerima masalah ini dari Damian, kami mungkin tidak akan membuat penawaran."

Dalam penasehat keamanannya, Apple memuji Miller dan Put dengan menemukan masalah tersebut.

Selain perbaikan keamanan, rilis iTunes 8.2 termasuk dukungan untuk perangkat lunak iPhone 3.0 mendatang, yang diharapkan akan diresmikan di Konferensi Pengembang Seluruh Dunia Apple minggu depan di San Francisco.