Súlyos hibák az iTunes-ben és a QuickTime-ban

 ( trey | 2006. március 12., vasárnap - 13:17 )

Az eEye biztonsági cég két komoly biztonsági hibát talált az Apple népszerű iTunes és QuickTime programjaiban. A cég szerint a hiba távoli kódfuttatást tehet lehetővé Windows és Mac OS X felhasználók gépén.

Az eEye bejelentés előtt álló figyelmeztetői között azt olvashatjuk, hogy az iTunes és QuickTime programokban integer overflow és heap overflow hibát fedeztek fel.

Az Apple a javításig nem kommentálja a dolgot. Az eEye a patch megjelenéséig nem közöl részleteket a hibáról, de addig is azt javasolja az említett programok használóinak, hogy ne kattintsanak ismeretlen, nem megbízható média fileokra.

Bővebben itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Itt uszik el, hogy az Apple bzitonsagosabb, mint az M$. zart, ceges kod, szerintem pontosan ugyanazt a bzitonsagot nyujtja: lofasz dobozban, igy legalabb nincs az orrod elott;)
ami kulonbozik, az az ha matematikusokkal auditaltatja valaki a teljes kodot (pl: a vadaszgepek oprendszere), de az 10-1000$ soronkent!!!
nyilvan se az M$, se az Apple nem fizeti ezt ki.
Jobban hiszek a nyitl forrasban, ott legalabb folyamatosan (naponta) tisztul a kod. es most lenyegtelen, hogy *BSD, vagy linux

Anr - http://andrej.initon.hu

ezt nem is tuttam h van ilyen kód-auditálás. asszem matematikusnak megyek... =)

Ez az "A" biztonsági szint követelménye az amerikai mittoménmilyen hivatalnál. Ahol anno a Windows NT 3.51 floppy nélkül C2-es lett, ha jól rémlik. Fontos, hogy ez nem oprendszerre vonatkozik, hanem komplett rendszerre, tehát a vassal együtt auditálják.

--
Sokan nincsenek tudatában annak, / hogy egyszer mindenki meghal. / Akik ráébrednek erre, / azonnal abbahagyják az ellenségeskedést.

A helyedben nem kivannam, nem egy halas munka, tudtommal megdobnak egy par soros kodreszlettel, es azt nagyon sok lehetseges korulmeny alatt tesztelni kell (Valtozok allasa stb.)
---
Hey! Where'd my terminal go?

meg annal is durvabb. nem, ez nem a tesztelesrol szol, hanem a matematikai _bizonyitasrol_ kvantorokról, meg hasonlo nyalanksagokról. joval tobb levezetes kepzodik, mint maga a kod.
Na az ilyen auditalt kodban nincs apro modositas, ugy marad 20 evig, ahogy eredetileg megirtak;))

Anr - http://andrej.initon.hu

Mint a MIR szamitogep rendszere. Vagy mint a mars szonda rendszere. :-)

Olyan is lesz :-)