Apple Patches QuickTime Bug som var dold i bok

Apple har utfärdat patchar för dess QuickTime- och iTunes-programvara, som fastställer kritiska säkerhetsbrister tillsammans med en bugg som först antyddes tidigare i år i en bok om Macintosh-datorhackning.

Uppdateringarna fixar 10 QuickTime sårbarheter och ett enda fel i iTunes. Bristerna påverkar både Windows och Mac-användare och har blivit patchade i QuickTime 7.6.2 och iTunes 8.2-utgåvor, publicerade måndagen.

De flesta av buggarna var inte kända förut för dagens uppdateringar, så det är osannolikt att de utnyttjades av iT-brottslingar. Det visar sig dock att en fel - ett fel i hur QuickTime läser filer som komprimeras med JPEG 2000 (JP2) -komprimeringsstandarden - avslöjades delvis i Charlie Miller och Dino Dai Zovis bok, "Mac Hackers Handbook, "Utgivet i mars.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

I en intervju måndag sade Miller att han satte instruktioner för att hitta felet i en del av boken som beskriver hur man hittar brister i Apples programvara. "Om du följde alla stegen du skulle hitta … buggen," sa han. "Jag visade inte felet, men jag gav receptet på hur man hittar det."

Miller avslöjade under ett samtal på CanSecWest-konferensen i mars att han hade gömda instruktioner för att hitta felet i sin bok. Efter att medlemmarna i Apples säkerhetslag kontaktade honom vid konferensen för att fråga om frågan, överlämnade han exploitkoden, sa han måndag.

Tillfälligt såldes en annan Mac hacker, Damian Put, samma fel en månad senare till 3Coms TippingPoint division, som också rapporterade frågan till Apple. Även om TippingPoint inte skulle säga vad det betalade Sätt för felet, betalar företagen vanligtvis tusentals dollar för buggar som denna. Miller och Dai Zovis boklista för US $ 50.

Även om Put använde en annan teknik från Miller och Dai Zovi för att hitta problemet, visste TippingPoint inte att det hade köpt felet i "Mac Hackers Handbook" tills Apple informerades Det var ungefär en vecka sedan, enligt TippingPoints säkerhetsforskningschef, Pedram Amini.

Det är inte ovanligt att två hackare upptäcker samma fel, sa Amini. Nyligen presenterade tre separata forskare identiska Internet Explorer-brister inom en sexmånadersperiod. Men han tillade: "Hade vi läst boken innan vi fick den här frågan från Damian, hade vi förmodligen inte gjort ett erbjudande."

I sin säkerhetsrådgivning krediterade Apple både Miller och Put med att hitta problemet.

Förutom säkerhetstipset innehåller iTunes 8.2-utgåvan stöd för den kommande iPhone 3.0-programvaran, som förväntas presenteras på Apples världsomspännande utvecklarkonferens nästa vecka i San Francisco.