Ved CanSecWest sikkerhedskonferencen fredag blev en MacBook kompromitteret ved at angribe en fejl i QuickTime-afspilleren. Nu viser det sig, at fejlen findes på flere platforme.
Baggrunden er en konkurrence på konferencen, hvor en MacBook blev givet væk som præmie til den, der kunne tage kontrol over maskinen. Formålet var at afsløre, at heller ikke Mac OS X kan betragtes som helt sikkert.
Computeren blev hacket, og oprindeligt var konsensus, at det var et hul i den populære Safari-browser, der gjorde exploitet muligt. Nu er flere detaljer så blevet offentliggjort.
Fejlen ligger i QuickTimes brug af Java, hvilket betyder, at fejlen er platformsuafhængig. Specielt Firefox-brugere skal være påpasselige.
Fejlen er blevet meldt til Apple mandag, men hvornår der kommer et patch er uvist. Til gengæld er ingen detaljer om exploitet blevet lækket, så faren ved at surfe nettet er indtil videre marginal. Dog anbefaler TippingPoint, 3Coms sikkerhedsdivision, at man slår Java fra i sin browser.
TippingPoint betrager Firefox-brugere på Windows og Safari og Firefox-bruger på Mac OS X som sårbare.
Dai Zovi, som fandt fejlen, vandt en præmie fra TippingPoint på 10.000 dollar. TippingPoint var det første firma, der systematisk begyndte at købe sårbarhedsinformationer fra forskere som en del af deres »Zero-Day Initiative.«
Premium
37.000 danskere modtog alarmerende brev om MitID: Nu lander sagen på ministerens bord