Apple deed niets aan lek in QuickTime

Kwaadwillenden hoeven een gebruiker alleen maar naar een kwaadaardige website te lokken om de controle over hun pc te kunnen overnemen.

Portnoy hekelt Apple omdat het bedrijf de kans liet glippen om het beveiligingslek in de plug-in van QuickTime voor Internet Explorer te dichten voordat iemand anders het probleem aan de grote klok hing. Het ging volgens Portnoy om een makkelijk te verhelpen fout – er hoefde slechts een enkele parameter in QuickTime te worden gewijzigd - waarvoor geen uitgebreide tests nodig zijn. “Ik had dit in een dag volledig kunnen oplossen”, aldus de onderzoeker van Tipping Point. Hij meent dat Apple veel negatieve publiciteit had kunnen vermijden door tijdig een patch te ontwikkelen.

Het Zero Day Initiative biedt personen die fouten melden in software een beloning. Portnoy constateert dat het steeds vaker voorkomt dat verschillende onderzoekers onafhankelijk van elkaar hetzelfde beveiligingsprobleem ontdekken. Volgens Portnoy betekent dit dat leveranciers sneller moeten patchen en dat het redelijk is een deadline te verbinden aan het geheim houden van meldingen.

In 2007 registreerde ZDI nog maar 4 gevallen van overeenkomstige meldingen, waarbij meer dan één onderzoeker hetzelfde probleem meldde voordat de leverancier een patch beschikbaar stelde. Na een terugval tot slechts één dubbele melding in 2009 schoot het aantal omhoog naar 18 in 2009. Tot augustus van dit jaar noteerde ZDI al 13 doublures van gemelde kwetsbaarheden, aldus Portnoy.