Jacht op Apple-bugs krijgt antwoord

Publicatie van kant-en-klare probeercode

03 januari 2007 | Jamie Biesemans Met de publicatie van een tot op heden onbekende bug in QuickTime 7 geeft een hackersduo het startschot voor een opmerkelijk project. Een maand lang wil het tweetal elke dag een nieuw lek in het Apple-platform wereldkundig maken. Het doel is het verbeteren van het beveiligingsbeleid van Apple, zo luidt de beweegreden.

De eerste zwakke plek tijdens de Month of Apple Bugs (MoAB) is een probleem bij de afhandeling van URL's die starten met rtsp://. Door een fout kan een aanvaller een buffer overflow uitlokken, waarna hij zijn eigen code kan uitvoeren op de doelwit-pc. De beschreven kwetsbaarheid is eveneens aanwezig op de Windows-versie van QuickTime 7.1.3.

De twee hackers, 'LMH' en Kevin Finisterre, hebben een ruime kijk op wat een Apple-kwetsbaarheid precies is. Op de tweede dag van hun initiatief publiceerden ze bijvoorbeeld een lek in de Mac-versie van VLC, een openbronmediaspeler. Bij een vorige jacht op bugs in de maand november kregen LMH en Finisterre bakken kritiek over zich heen omdat sommige gerapporteerde bugs niet meteen een beveiligingsrisico vormden. Die kritiek wimpelt het tweetal af, al haasten ze zich wel om te zeggen dat bijna alle meldingen in januari informatie over werkende exploits zullen bevatten.

Dat is ook het geval bij deze eerste melding. LMH en Finisterre leveren meteen code die hackers kunnen gebruiken om het lek uit te proberen. Het publiceren van exploit-code is nogal controversieel, aangezien ook malafide types de code kunnen gebruiken om malware te construeren. Een oplossing is er nog niet voor het QuickTime-probleem.

Minstens even controversieel is dat LMH en Finisterre Apple (of de verantwoordelijke softwaremaker) niet van tevoren inlichten over kwetsbaarheden die ze gaan publiceren tijdens MoAB. Ze doen dat niet, aldus de MoAB-website, omdat dit vaak betekent dat een lek voor lange tijd wordt doodgezwegen door de fabrikant of uiteindelijk in een officieel veiligheidsbulletin eufemistisch wordt omschreven. Deze praktijken zijn volgens het hackersduo schering en inslag, onder meer bij Apple. "Een positief zijeffect van dit initiatief leidt wellicht tot een meer bezorgde gebruikersgroep en betere security-gebruiken bij het Apple-management", hopen LMH en Finisterre.

Het MoAB-initiatief blijft niet zonder (officieus) weerwoord. Landon Fuller, een ontwikkelaar bij het OpenDarwin-project, publiceert op zijn blog oplossingen voor elke bug die LMH en Finisterre uitbrengen. Voor de eerste twee bugs - één in QuickTime, één in VLC - heeft hij oplossingen klaar. "Als ik de tijd én de assistentie heb, zal ik proberen de andere lekken te dichten, elke dag tot het einde van de maand", belooft Fuller. Lees meer artikels over : apple, finisterre, lmh, moab

bron: ZDNet