アップデートでは、10個のQuickTimeの脆弱性とiTunesの単一のバグが修正された。この欠陥は、WindowsとMacの両方のユーザーに影響を及ぼし、QuickTime 7.6.2とiTunes 8.2リリースで修正されています(9月号)。
ほとんどのバグは、今日のアップデートより前には知られていなかったため、サイバー犯罪者。しかし、QuickTimeがJPEG 2000(JP2)圧縮規格を使用して圧縮されたファイルを読み取る方法の不具合の1つがCharlie MillerとDino Dai Zoviの本「The Mac Hacker's Handbook」に部分的に開示されています。あなたのWindows PCからマルウェアを削除する方法」
号のインタビューで、Miller氏は、バグを発見するための指示を、本の欠陥の発見方法を説明するセクションに記載していると言いましたアップルのソフトウェアで。 「すべての手順を踏んだら、見つけたら…バグだ」と彼は言った。 「私はバグを見せなかったが、見つけ出す方法を教えてくれた」Miller氏は、3月のCanSecWestカンファレンスで、彼の本の欠陥を見つけるための指示を隠していることを明らかにした。同氏は、Appleのセキュリティチームのメンバーが会議で彼に近づいて、この問題について質問すると、悪用コードを渡した、と彼は月曜日、言った。
同時に、もう1人のマックハッカー、Damian Putも1ヶ月後に同じ欠陥を3ComのTippingPointまた、Appleに問題を報告した。 TippingPointはこの欠陥のために何を支払ったのかについては言及していないが、企業は通常このようなバグに数千ドルを支払う。 MillerとDai Zoviの書籍リストは50米ドルです。PutはMillerとDai Zoviの別のテクニックを使用して問題を発見しましたが、TippingPointはAppleが通知するまで「The Mac Hacker's Handbook」でバグを購入したことは知らなかったTippingPointのセキュリティリサーチマネージャー、Pedram Amini氏によると、約1週間前に、それは2人のハッカーが同じバグを発見するのは珍しいことではない、とAminiは言いました。最近、3人の独立した研究者が6ヶ月以内に同一のInternet Explorerの脆弱性を提出しました。しかし、彼は、「この問題をDamianから受け取る前に本を読んでいれば、おそらく申し出をしなかっただろう」と付け加えた。
Appleはセキュリティ勧告でMillerとPutの両方にこの問題を発見したと評価した。 >セキュリティ修正に加えて、iTunes 8.2リリースには、来週のサンフランシスコで開催されるApple Worldwide Developer Conferenceで発表される予定のiPhone 3.0ソフトウェアのサポートが含まれています。