The Great Gildersleeve: Fishing Trip / The Golf Tournament / Planting a Tree
Apple har udstedt patches til dens QuickTime- og iTunes-software, der fastsætter kritiske sikkerhedsfejl sammen med en fejl, der først blev antydet tidligere i år i en bog om Macintosh-computer hacking.
Opdateringerne løser 10 QuickTime sårbarheder og en enkelt fejl i iTunes. Fejlene påvirker både Windows og Mac-brugere og er blevet patchet i QuickTime 7.6.2 og iTunes 8.2 udgivelser, offentliggjort mandag.
De fleste af fejlene var ikke offentligt kendt før dagens opdateringer, så det er usandsynligt, at de blev udnyttet af cyber-kriminelle. Det viser sig imidlertid, at en fejl - en fejl i den måde QuickTime læser filer, der komprimeres ved hjælp af JPEG 2000 (JP2) komprimeringsstandard - blev delvist beskrevet i Charlie Miller og Dino Dai Zovi's bog, "Mac Hacker's Handbook, "Udgivet i marts.
[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]I et interview mandag sagde Miller, at han stillede instruktioner for at finde fejlen i et afsnit af bogen, der beskriver, hvordan man finder fejl i Apples software. "Hvis du fulgte alle de trin, du ville finde … fejlen," sagde han. "Jeg viste ikke fejlen, men jeg gav opskriften på, hvordan man fandt den."
Miller afslørede under en samtale på CanSecWest-konferencen i marts, at han havde skjulte instruktioner for at finde fejlen i sin bog. Efter at medlemmerne af Apples sikkerhedshold kontaktede ham på konferencen om at spørge om problemet, gav han over exploitekoden, sagde han mandag.
Tilfeldigvis solgte en anden Mac hacker, Damian Put, den samme fejl en måned senere til 3Coms TippingPoint division, som også rapporterede problemet til Apple. Selvom TippingPoint ikke ville sige, hvad det betalte Sæt for fejlen, betaler virksomheder typisk tusindvis af dollars for fejl som dette. Miller og Dai Zovis bog lister til US $ 50.
Selvom Put brugte en anden teknik fra Miller og Dai Zovi for at finde problemet, vidste TippingPoint ikke, at den havde købt fejlen i "Mac Hacker's Handbook", indtil Apple blev informeret det for omkring en uge siden, ifølge TippingPoints sikkerhedsforsker, Pedram Amini.
Det er ikke usædvanligt, at to hackere opdager den samme fejl, sagde Amini. For nylig forelagde tre separate forskere identiske fejl i Internet Explorer inden for en seks måneders periode. Men han tilføjede: "Hadde vi læst bogen før du modtog dette problem fra Damian, ville vi sandsynligvis ikke have lavet et tilbud."
I sin sikkerhedsrådgivning krediterede Apple både Miller og Put med at finde problemet.
Ud over sikkerhedsrettelsen indeholder iTunes 8.2-udgivelsen support til den kommende iPhone 3.0-software, som forventes afsløret på Apples verdensomspændende udviklerkonference næste uge i San Francisco.
Intercage, der også har handlet under navnet Atrivo, blev først banket offline lørdag, da dets sidste upstream-partner, Pacific Internet Exchange, termineret service. Et par dage senere blev en anden tjenesteudbyder, der hedder UnitedLayer, blevet enige om at levere den til service, hvilket giver den en livsnerven til internettet.
Intercage er blevet stærkt kritiseret af internetsamfundet for at tolerere online svindlere. Sidste måned offentliggjorde sikkerhedsforskere et dammende hvidbog på internetudbyderen, der beskriver det som et "hovednav for cyberkriminalitet". Forskerne fandt, at 78 procent af domænerne og postservere på Intercages netværk var fjendtlige. [
FTC advarer om Bogus Economic Stimulus Sites websteder, der ser ud til at tilbyde gratis amerikanske statsstipendier, der er bundet til en nylig vedtaget økonomisk stimuluspakke, kan ende med at bilke uønskede forbrugere ud over mere end $ 1.000, sagde US Federal Trade Commission onsdag. Den økonomiske stimulanspakke, der blev afleveret i midten af februar af den amerikanske kongres har skabt en utilsigtet sommerhusindustri af websteder og e-mail-spammere, der lovende adgang til midler, men re
ØKonomiske stimulus svindel "har bogstaveligt talt svampet op natten over ", siger Eileen Harrington, fungerende direktør for FTC's Bureau of Consumer Protection. FTC bad webannoncer for at screene annoncer for stimulus svindel. Facebook begyndte at annullere annoncerne, før FTC bad om hjælp, og Google har aftalt at holde øje med de scam-annoncer, Harrington sagde.
Til dato er virksomheden blevet anmeldt af et angreb på en tysk producent at Siemens nægtede at identificere. "Vi blev informeret af en af vores systemintegratorer, der udviklede et projekt til en kunde i procesindustrien," sagde Wilsand Simon, talsmand for Siemens Industry, i en e-mail-meddelelse. Virksomheden forsøger at afgøre, om angrebet har forårsaget skade, sagde han. Ormen, der hedder Stuxnet, blev først set i sidste måned, da den inficerede systemer på en uidentificeret iran
[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]