Záplata pro QuickTime - první reakce Apple na MoAB
24. 01. 2007, 1:58 · Nakousnutá jabka
Apple dneska vydal bezpečnostní opravu pro QuickTime (pro Mac OS X i Windows), která odstraňuje chybu umožňující spuštění nepřátelského kódu při navštívení stránky s podvrženým URL pro streaming.
Oprava chyb od Apple není ničím neobvyklým, ovšem toto je první reakce na chyby, které byly zveřejněné v rámci Month of Apple Bugs (MoAB), zde je ještě blog projektu. Dva výzkumníci, z nichž jeden je znám jen pod přezdívkou LMH, se rozhodli v průběhu ledna zveřejnit každý den jednu novou chybu v rámci Mac OS X či aplikací (i od třetích stran), které na něm běží. Tento plán se dařilo plnit až do 22. ledna, od té doby je ticho po pěšině. Většina zveřejněných chyb se týkala produktů Apple, několik chyb i dalších (zpravidla freewarových) produktů.
Projekt MoAB si každopádně získal velice silnou pozornost a strhla se kolem něj silná vřava. Obvyklým postupem “hledačů chyb” totiž je oznámení o chybě přímo firmě, jejíhož produktu se chyba týká a až pokud firma nereaguje (resp. neuvede opravu) dlouho, uveřejní informaci (zpravidla ne zcela konkrétní) o chybě, aby firmu popohnali k reakci.
MoAB na to šli úmyslně jinak – ohlásili záměr celý měsíc chrlit nové “objevy”, aniž by byla příslušná firma či vývojáři dopředu upozorněni, a k tomu obvykle přidávat i exploity na praktické vyzkoušení zneužitelnosti chyby (naštěstí snad žádná doposud objevená chyba nejde zneužít masově vzdáleně – zneužití URL za masovku nepovažuji). Řada publikovaných chyb umožňuje lokálnímu uživateli zvýšit práva, či spustit něco s právy, která mu nepatří. Publikováním exploitu se zamezí reakci “to je pustá teorie…”. Mimochodem, na autorech MoAB nezávislá skupina, kterou vede bývalý vývojář Apple Landon Fuller (dělal na Darwin Ports), obratem také zveřejňuje alespoň prozatímní opravy jednotlivých chyb, než se k tomu dostane Apple.
Svým postupem však lidé z MoAB na sebe strhli silnou nevoli části internetové komunity, právě proto, že se takovéto věci obvykle nedělají, že mají být “hackeři” (v tom klasickém slova smyslu) odpovědní a chyby hlásit dopředu firmě. Jak však argumentují přímo autoři MoAB, v tomto případě se rozhodli ihned upozorňovat na chyby veřejně, neboť nemají důvěru v postupy Apple ohledně náprav chyb.
Své pochybnosti zakládají na dosavadních postupech Apple ohledně chyb v jejich produktech. Jen bych připomněl, že jeden z nejznámějších případů chyby u Apple se týká chyb v ovladačích pro WiFi – loni se přišlo na to, že i ovladače Apple jsou zneužitelné pro plný přístup do počítače, ovšem Apple podle řady informací dělal vše pro to, aby se informace o chybě nedostala ven, včetně obviňování výzkumníků ze zfalšování hacku či nátlaku na výzkumníky a jejich zaměstnavatele. Následně Apple chybu opravil, ovšem trvalo to dvě měsíce a podle všeho i poté tvrdě tlačil na nezveřejňování podrobností. Zábavné ovšem je, že Apple ani v té době ještě neměl opravené všechny chyby ve WiFi.
Pokud si chcete o této loňské situaci udělat lepší obrázek, vřele doporučuji si pročíst různé články na internetu, neboť každý se na věci dívá z trochu jiného úhlu, a tak netvrdím ani já, že mám zcela jasno v tom, na čí straně je pravda. Toto mi ovšem přijde jako docela zajímavé shrnutí případu.
Z akce MoAB však nemám tak hrůzostrašný pocit jako řada jiných, myslím si, že platformě ve finále prospěje. Díky vřavě, která se kolem tohoto strhla se Apple sice zbaví určitého mediálního oparu “tady žádné chyby nejsou” (ale vir stále nemáme :), ovšem na druhou stranu to může znamenat, že se bezpečnosti budou více věnovat i vývojáři v Apple, a že by snad Apple mohl začít komunikovat trochu lépe (byť tvrdí, že žádné chyby nepotvrzuje do okamžiku, než jsou k dispozici opravy).
Čím více lidí se bude v Macích vrtat, tím více chyb se objeví a je možno je opravit, z čeho budeme ve výsledku profitovat my, uživatelé. Pokud by se LMH a Kevin Finisterre, autoři projektu MoAB, zachovali tak, jak po nich chtějí příznivci “odpovědného přístupu”, podobná vřava by se nekonala, tlak na Apple by se nezvýšil a vlastně by se nic nezměnilo. Proto z mého pohledu je MoAB sice kontroverzní, ale zajímavý a ve výsledku užitečný projekt.
Plán se dařilo plnit až do 22.???
Tuesday, January 23, 2007
MOAB-23-01-2007: Apple QuickDraw GetSrcBits32ARGB() Memory Corruption Vulnerability
— Pepa 24.1.2007 14:20 #
Pepa: verte nebo ne, kdyz jsem psal clanek, tak to tam jeste nebylo, ani na webu MoAB, ani na blogu.
— Martin Ler 24.1.2007 17:14 #
:-) Věřte nebo ne…. A já Ti, Martine, věřím! :-D
— Matt 24.1.2007 21:47 #
Matt: ;)). Ale jinak sem se v podstate veci sek, kdyz sem to psal, mel sem pocit, ze uz je 25, ale vlastne bylo teprv 23. dle US casu, takze se neodmlceli vubec, jen ja mel v hlave souple datum (a taky jsem se na chvili vydesil, ze musim dneska, vlastne vcera udelat DPH – musim ho udelat az dneska :)
— Martin Ler 25.1.2007 02:03 #
Zasadni je charakter tech chyb. Pokud by skutecne objevili snadno zneuzitelnou kritickou chybu a zverejnili ji takto bez varovani, je to nemoralni. To je asi jako najit kilo plutonia umistit ho nekde v parku a publikovat jeho polohu na webu – kdo driv prijde, ten driv mele. :)
— mrcookie 25.1.2007 10:06 #
A je to nemorální jen vůči Applu nebo i Windows ? :)
— IN 25.1.2007 20:15 #
Tak pro Intely je nyni update pro AirportExtreme. Neotevre se tim nakonec podpora pro “n” zdarma?
This update is recommended for all Intel-based Macintosh computers and provides compatibility with AirPort Extreme base stations and networks.
— Jirka 26.1.2007 17:26 #
No jo … chyby budou holt všude… nekoupim si ani Meka ani Pc koupim si psací stroj… ten hacknout nejde :))) ...
— Pierre 27.1.2007 10:40 #