Обновлено: Началась эксплуатация критической ошибки QuickTime05.12.2007 18:16

Обновлено: Началась эксплуатация критической ошибки QuickTimeSymantec сообщила об обнаружении случаев эксплуатации обнаруженной 23 ноября непропатченной уязвимости QuickTime. Компания выяснила, что уязвимость затрагивает практически все наиболее известные системы, включая Windows XP, Windows Vista, Mac OS X 10.4 и вышедшую в октябре Mac OS X 10.5. Относительно уязвимых браузеров Symantec назвала Internet Explorer, Firefox, Opera и Safari. Ошибка эксплуатируется через протокол Real Time Streaming Protocol (RTSP), используемый для потоковых медиасистем. Уязвимость может быть задействована в версиях QuickTime от 4.0 до 7.3, вышедшей всего несколько недель назад. Эксплуатация уязвимости происходит при открытии пользователем специального вредоносного RTSP-потока, через который благодаря ошибке переполнения буфера обмена атакующий получает возможность удаленно запускать на исполнение произвольный код. Symantec обнаружила несколько типов атак. 

В первом случае пользователи перенаправлялись с "взрослого" сайта Ourvoyeur.net на другой портал, загружавший файл loader.exe. На компьютере он сохранялся под именами metasploit.exe, asasa.exe или syst.exe. Установленный модуль производил скачивание другого файла, определенного Symantec как руткит Hacktool.Rootkit. Во втором случае также использовалось перенаправление на портал, заражающий пользователя, его последствия и подробности Symantec пока детально изучает. Symantec настоятельно рекомендует заблокировать запросы по адресам 85.255.117.212, 85.255.117.213, 216.255.183.59, 69.50.190.135, 58.65.238.116 и 208.113.154.34, а также не посещать порталы 2005-search.com, 1800-search.com, search-biz.org и Ourvoyeur.net. В качестве крайней меры Symantec предлагает временно удалить QuickTime до выхода обновления, устраняющего уязвимость. 

Обновлено:

Если специалисты Apple уже завершили разработку "заплатки" для ошибки, эксплуатируемой через протокол RTSP, выпуск патча стоит несколько отложить, так как в Интернете опробована очередная уязвимость QuickTime, угрожающая финансам жителей виртуального мира Second Life. Хакер Даи Зови (Dai Zovi), известный по взлому MacBook Pro на конференции CanSecWest, совместно с создателем первого эксплойта для iPhone разработали метод атаки населения Second Life с целью кражи местных денег - Linden Dollars. В атаке задействованы QuickTime 7.3 (последняя на данный момент версия плеера) и Second Life 1.18.4(3). По словам создателей, для эксплуатации у жертвы должна быть включена опция просмотра видео, и она должна находится на территории, принадлежащей атакующему. Комментариев со стороны Apple и руководства Second Life пока не последовало, но вряд ли последние оставят без внимания возможность красть деньги у своих пользователей.  

©  TechLabs