QuickTime mắc lỗi bảo mật chết người

Các chuyên gia bảo mật lại vừa phát hiện một lỗi bảo mật chết người trong ứng dụng đa phương tiện QuickTime của Apple Computer có thể mở cửa cho tin tặc tấn công PC chạy Macs và Windows.

Lỗi bảo mật này chính thức được công bố trong ngày hôm qua (2/1) và là sự kiện mở đầu cho Dự án "Tháng các lỗi bảo mật Apple". Theo đó, mỗi một ngày trong tháng 1 này sẽ có một lỗi bảo mật trong các phần mềm của Apple được công bố.

Thông tin từ trên trang web của dự án cho biết lỗi bảo mật mới trong QuickTime bắt nguồn từ phương thức xử lý thủ tục RTSP (Real Time Streaming Protocol). Tin tặc có thể sử dụng một chuỗi RTSP được lập trình đặc biệt nhúng vào trong một tệp tin QuickTime nhằm gây ra lỗi tràn bộ nhớ đệm, tạo điều kiện cho phép chúng tấn công hệ thống mắc lỗi.

"Chính vì thế mà người dùng có thể phải đối mặt với nguy cơ hệ thống của họ bị tin tặc bắt cóc. Điều này đồng nghĩa với việc tin tặc từ xa có thể thực hiện bất kỳ một hoạt động nào trên hệ thống của họ mà họ không hề hay biết," LMH - một trong hai chuyên gia bảo mật khởi động dự án Tháng lỗi bảo mật Apple - cho biết.

"Tin tặc có thể sử dụng JavaScript, Flash, liên kết thông thường, tệp tin QTL hoặc bất kỳ một chuẩn định dạng nào tương thích với QuickTime đều có thể bị tấn công".

Ngay cả phiên bản QuickTime mới nhất 7.1.3 dành cho cả Windows và Mac OS X cũng đều mắc lỗi bảo mật nói trên. Các phiên bản về trước cũng có thể mắc lỗi bảo mật này.

Phần lớn các hãng bảo mật như Secunia hay FrSIRT đều xếp lỗi bảo mật mới trong QuickTime vào mức cực kỳ nguy hiểm.

Phản ứng trước việc công bố thông tin về lỗi bảo mật QuickTime mới, người phát ngôn của Apple Anuj Nayar khẳng định hãng của ông luôn hoan nghênh những phản hồi và thông tin về khả năng bảo mật trong Macs.

Tuy nhiên, ông Nayar không có bất kỳ bình luận nào về lỗi bảo mật mới trong QuickTime hoặc cho biết khi nào Apple sẽ phát hành bản vá lỗi.

Người dùng QuickTime có thể tự bảo vệ mình bằng cách vô hiệu hoá tính năng hỗ trợ RTSP của ứng dụng.

Hoàng Dũng