QuickTime में कमजोरता

डेनिश कंप्यूटर सुरक्षा कंपनी Secunia ने विंडोज प्लेटफॉर्म के लिए Apple के प्रसिद्ध क्विकटाइम प्लेयर में एक गंभीर दोष का खुलासा किया है। Secunia की रिपोर्ट है कि भेद्यता का उपयोग उपयोगकर्ता को दुर्भावनापूर्ण वेब पेज पर धोखाधड़ी से पुनर्निर्देशित करके किया जा सकता है।



डेनिश एजेंसी की रिपोर्ट के अनुसार, स्ट्रीमिंग डीबगिंग के लिए क्विकटाइम लॉगिंग प्रक्रिया में एक दोष बफर अतिप्रवाह का कारण बन सकता है। यह तब होता है जब कोई प्रोग्राम आवंटित मेमोरी क्षेत्र की सीमाओं के बाहर डेटा लिखता है।



बफर ओवरफ्लो कंप्यूटर सुरक्षा के लिए एक गंभीर खतरा पैदा करता है क्योंकि ज्यादातर मामलों में, ओवरफ्लो आपको बाद में निष्पादन में स्मृति में मनमाना कोड डालने की अनुमति देता है।



इस QuickTime भेद्यता का फायदा उठाने के लिए, एक हैकर उपयोगकर्ताओं को एक वेब पेज पर ले जाता है जो एक विशेष रूप से तैयार की गई SMIL फ़ाइल से लिंक करता है जिसमें एक लंबा URL होता है। एसएमआईएल एक एक्सएमएल-आधारित मार्कअप भाषा है जिसका उपयोग मार्कअप का वर्णन समय सिंक्रनाइज़ेशन, प्लेसमेंट, एनिमेशन, विज़ुअल ट्रांसफॉर्मेशन और मल्टीमीडिया ऑब्जेक्ट्स के कई अन्य पहलुओं के लिए किया जाता है।



वेब पर किए गए इस प्रकार के हमले को इस तथ्य के लिए जाना जाता है कि डेटा डाउनलोड करने और संचारित करने पर उपयोगकर्ता द्वारा हानिरहित कार्रवाई के साथ किसी का ध्यान नहीं जाता (जैसे कि बैनर को बंद करने के लिए "क्रॉस" पर क्लिक करने का प्रयास न केवल बैनर को बंद करने की ओर जाता है, बल्कि मैलवेयर भी)। मैलवेयर डेवलपर नियमित रूप से अपने बैनर और अन्य सामग्री के साथ विश्वसनीय वेबसाइटों को संक्रमित करने की कोशिश करते हैं जो लोकप्रिय सॉफ़्टवेयर (एडोब रीडर, एडोब फ्लैश प्लेयर, जावा रनटाइम, एक्टिवएक्स) के पुराने संस्करणों में इस भेद्यता का फायदा उठाने के लिए डिज़ाइन किया गया है।



QuickTime साइबर क्रिमिनल्स के लिए एक मूल्यवान लक्ष्य है, क्योंकि खिलाड़ी दुनिया भर में बहुत बड़ी संख्या में कंप्यूटर पर स्थापित है। लगभग सभी लोग जो आईपॉड, आईफोन या आईपैड के मालिक हैं, आईट्यून्स का इस्तेमाल करते हैं, और आईट्यून्स को ऑडियो और वीडियो प्लेबैक के लिए क्विकटाइम की आवश्यकता होती है।



भेद्यता क्विकटाइम प्लेयर 7.6.6 (1671) के नवीनतम संस्करण पर काम करती है, लेकिन यह संभव है कि पुराने संस्करण भी असुरक्षित हैं।



भेद्यता को पोलिश शोधकर्ता क्रिस्टियन क्लोकोव्स्की ने पाया, जिन्होंने मई में सफारी ब्राउज़र में इसी तरह की भेद्यता की खोज की थी।



अभी तक कोई पैच या वर्कअराउंड नहीं है, और Apple ने अभी तक Secunia रिपोर्ट का जवाब नहीं दिया है।



भेद्यता के बारे में अधिक जानकारी यहां पाई जा सकती है ।