La falla da 10,000 dollari è in Quicktime

«Ci sono voluti 10,000 dollari per scovare una falla in un Mac quando per i sistemi Windows ne vengono trovate ogni giorno gratuitamente», con questa frase esordisce il report sui risultati della CanSecWest security conference, dove la cifra in palio è stata assegnata all’hacker che per primo è riuscito a trovare una falla in un MacBook prendendone il controllo tramite azione da remoto.

Quando la vulnerabilità in questione è stata resa pubblica Secunia l’ha classificata come “highly critical”. Si tratta di un exploit che sfrutta una falla in Quicktime, un problema che può causare attacchi su sistemi Mac OS X al pari di sistemi Windows. Al momento l’unico rimedio conosciuto e consigliato dalla stessa Secunia, è disabilitare il supporto alla navigazione in Java dal browser. Quello che si sa dell’exploit infatti è che tramite i browser che supportano Java (come Safari o Firefox) e tramite un errore nel modo in cui Quicktime gestisce il supporto Java è possibile eseguire delle righe di codice in maniera arbitraria e quindi potenzialmente prendere il controllo del computer.

A scovare il bug e vincere il premio è stato Dino Dai Zovi, il quale in seguito ha dichiarato di essere convinto di aver battuto il record di velocità in questo genere di manifestazioni rivelando inoltre qualche particolare aggiuntivo sull’exploit utilizzato rispetto a quanto trapelato inizialmente.