Bugjager vindt lek in Quicktime
Gepubliceerd: Donderdag 24 april 2008
Auteur: Wilbert de Vries en Maarten Reijnders
De Bulgaarse bugjager Petko D. Petkov heeft een lek ontdekt in Quicktime voor Windows XP en Vista.
Op de site van eWeek staat een video waarin Petkov laat zien hoe de aanval in zijn werk gaat. Door een geprepareerd .mov-bestand in Quicktime te laden, is het mogelijk om de controle over computers met Windows XP en Vista over te nemen. De security-expert toont in de video bijvoorbeeld dat hij de rekenmachine en Microsoft Paint kan opstarten op een gecompromitteerde pc.
Petkov heeft het veiligheidslek nog niet bij Apple gemeld. Tegenover eWeek stelt hij dat hij nog niet helemaal zeker weet hoe hij de computerfabrikant op de hoogte zal stellen, omdat hij zich zorgen maakt over de reikwijdte van nieuwe anti-hackwetgeving.
"Ik experimenteer met verschillende manieren van disclosure", stelt Petkov. Hij zal waarschijnlijk gebruikmaken van VeriSigns iDefense en/of het TippingPoints Zero Day Initiative om het veiligheidslek bij Apple onder de aandacht te brengen.
Petkov trekt regelmatig aan de bel over veiligheidslekken. Vorig jaar wees hij ook al herhaaldelijk op een Quicktime-lek dat in combinatie met Firefox of Mozilla voor problemen kon zorgen. Apple negeerde het gevaar aanvankelijk. Pas nadat de Bulgaar een proof of concept publiceerde kwam het bedrijf in actie.
Bron: Techworld
