De nu uitgegeven update repareert tien gaten in QuickTime en één in iTunes. De kwetsbaarheden gelden voor zowel Windows- als Mac-gebruikers van de Apple-software. De lekken zijn geplakt in de releases QuickTime 7.6.2 en de iTunes 8.2.

De meeste van deze gaten waren niet bekend bij het grote publiek en werden niet - of niet op grote schaal - misbruikt. Een bug in een QuickTime-component, dat bepaalt hoe ingepakte JPEG2000-bestanden worden gelezen, kwam al deels aan het licht in 'The Mac Hacker's Handbook'. Dat boek ligt sinds afgelopen maart in de schappen.

Fout beschreven in boek

Charlie Miller, een van de schrijvers van het boek, zegt dat hij de handleiding gaf voor het vinden van fouten in de software van Apple. "Als je de stappen volgt, kom je automatisch die bug tegen", aldus Miller. "Ik heb de fout niet laten zien maar wel de handleiding geschreven voor de ontdekking ervan."

In maart onthulde Miller dat hij de instructies voor het vinden van de fout verstopt had in het boek. Het beveiligingsteam van Apple vroeg vervolgens om nadere uitleg waarop Miller de exploitcode overhandigde. De fout werd ook gevonden door een andere Mac-hacker, die de exploit verkocht aan de TippingPoint-divisie van 3Com. Die looft beloningen uit voor gevonden gaten en heeft Apple ook op het lek gewezen.

Over het algemeen worden er duizenden dollars betaald voor het aanbrengen van dergelijke gaten. Ter vergelijking: het boek van Miller kost vijftig dollar. Het is niet ongebruikelijk dat meerdere hackers een leverancier wijzen op dezelfde bug in diens software. Recent ontdekten drie onafhankelijke onderzoekers hetzelfde gat in Internet Explorer.

iPhone 3.0

Naast het plakken van het lek in iTunes brengt Apple met de update nu ook alvast ondersteuning voor de iPhone 3.0-software. Die wordt waarschijnlijk onthuld tijdens de Apple Worldwide Developer Conference in San Francisco volgende week.