Sau gần một tháng ám ảnh bữa ăn giấc ngủ của giới chuyên gia bảo mật, cuối cùng thì lỗ hổng nghiêm trọng bên trong phần mềm nghe nhìn QuickTime của Apple cũng đã được bịt lại.
Bản update bảo mật được Apple phát hành hôm qua, nhắm tới lỗ hổng bên trong Giao thức Truyền dữ liệu Thời gian thực (Real Time Streaming Protocal) mà QuickTime vẫn sử dụng để xử lý công đoạn chạy nhạc.
Nguồn: Ubergiz
Ngoài ra, nó cũng vá lại một lỗi thiếu tương thích giữa QuickTime 7.4 với Adobe Premiere, vốn cũng được giới chuyên gia chỉ ra từ trước.
Ngày 10/1/2008, nhà nghiên cứu Luigi Auriemma đã công bố lỗ hổng nghiêm trọng của QuickTime bằng cách post một đoạn mã tấn công trên-lý-thuyết, và tuyên bố có thể sử dụng đoạn mã này để chạy phần mềm trái phép trên máy tính nạn nhân.
Tuy nhiên, để tấn công được, trước hết hacker phải lừa người dùng vào xem một file QuickTime hiểm độc cái đã.
Do mã tấn công đã được "tung hê" cùng bàn dân thiên hạ nên giới bảo mật hy vọng Apple sẽ vá lại lỗ hổng một cách nhanh chóng. Mặc dù vậy, phải mất gần một tháng "Quả táo" mới có thể ra tay hành động.
Mục tiêu mới nổi?
Theo lời người đại diện Apple, bản update QuickTime 7.4.1 dành cho cả hai hệ điều hành Mac OS X và Windows. Đây là miếng vá QuickTime thứ 5 kể từ tháng 10 năm ngoái cho tới nay.
Có thể nói, số lượng lỗ hổng bị khui ra trong phần mềm nghe nhìn thông dụng này đã tăng đột biến suốt 1 năm qua. Không còn cách nào khác, Apple buộc phải "tăng tốc" trong việc phát hành bản vá lỗi dành cho QuickTime.
"Vài tháng trở lại đây, QuickTime đã trở thành mục tiêu ưa thích của cả giới nghiên cứu lẫn hacker.
Các ứng dụng nghe nhìn trên máy tính để bàn luôn là mục tiêu màu mỡ cho những kẻ tấn công, và rõ ràng là xu hướng này sẽ còn tiếp tục, bởi lẽ hầu hết người dùng chưa quen với việc cảnh giác trước video lạ", ông Andrew Storms, Giám đốc Bảo mật của nCircle Network Security cho biết.
Tháng 12/2007, Apple đã phải khẩn cấp vá một lỗ hổng riêng biệt trong RTSP bởi bọn tội phạm mạng đã manh nha sử dụng lỗ hổng này bên trong các vụ tấn công của chúng.
Trọng Cầm (Theo PC World)