Бэкдор в Apple QuickTime позволяет осуществлять выполнение произвольного кода
31.08.2010
Исследователь Рубен Сантамарта обнаружил баг в плеере AppleQuickTime, который злоумышленники могут использовать для удаленного выполнения вредоносного кода на машине под управлением Windows 7, самой безопасной на сегодняшний день операционной системы от Microsoft.
С технической точки зрения включение неиспользуемого параметра, известного как "_Marshaled_pUnk", можно назвать установкой бэкдора, поскольку добавивший его разработчик забыл убрать параметр после того, как в нем отпала необходимость. В итоге, брешь оставалась незамеченной на протяжении минимум девяти лет.
Присутствие в программе параметра "_Marshaled_pUnk" создает возможность использования его в качестве некоего указателя, который может стать лазейкой для внедрения в память опасного кода. Сантамарта, к примеру, выяснил, как упрятать этот код в типичный файл Windows таким образом, чтобы обойти ASLR и DEP.
Воспользовавшись методами возвратно-ориентированного программирования, эксперт сумел загрузить в память файл WindowsLiveLogin.dll и реорганизовать команды таким образом, чтобы получить контроль над системой. Работа со стандартным файлом DLL от Microsoft позволила ему не только точно определять местонахождение кода в памяти, но и заставить ПК выполнить его. По информации специалиста, таким образом гарантированно компрометируются операционные системы Windows XP, Vista и 7.
Несмотря на то, что выложенный исследователем эксплоит работает только при наличии на компьютере Windows Live Messenger, аналогичная методика может быть применена и к другим файлам, поставляемым вместе с QuickTime по умолчанию. В качестве возможных объектов для приложения усилий Сантамарта называет файлы QuickTimeAuthoring.qtx и QuickTime.qts.
