Tràn bộ đệm RTSP trong Apple QuickTime

Ngày 5/1/2007 vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Mỹ đã đưa ra một thông báo về một lỗi tràn bộ đệm RTSP trong Apple QuickTime. Lỗi này ảnh hưởng đến Apple QuickTime đang chạy trên các hệ điều hành Apple Mac OS X và Microsoft Windows. Và họ khuyến cáo rằng các phần mềm khác và iTunes đang sử dụng các thành phần QuickTime cũng bị ảnh hưởng.

Về miêu tả chung thì Apple QuickTime gồm có một lỗi tràn bộ đệm trong việc quản lý RTSP URL. Điều này có thể cho phép một kẻ tấn công từ xa có thể tấn công vào lỗ hổng hệ thống. Đây là lỗ hổng tồn tại theo cách mà Apple QuickTime quản lý các chuỗi URL Real Time Streaming Protocol (RTSP) một cách thủ công. Mã bị khai thác đã bị đưa ra để mọi người có thể biết chúng hoạt động như thế nào nhưng mặc dù vậy Trung tâm này khuyến cáo mọi người vẫn phải để phòng có thể còn tồn tại những cách tấn công khác trong:

- Trang sử dụng QuickTime plug-in hay ActiveX control
- Trang sử dụng giao thức rtsp://
- File liên kết với QuickTime Player

Trung tâm cảnh báo rằng lỗ hổng này ảnh hưởng đến QuickTime chạy trên nền Microsoft Windows và Apple Mac. Nhưng các trang cũng có thể bị sử dụng như những phương thức tấn công, những lỗ hổng kiểu này không phụ thuộc vào một trình duyệt cụ thể nào được sử dụng. Bằng cách thuyết phục người dùng mở một nội dung QuickTime cụ thể và từ đó một kẻ tấn công từ xa hay trái phép có thể đột nhập qua lỗ hổng hệ thống.

Trung tâm đã nghiên cứu cũng đưa ra một giải pháp cho vấn đề này như sau:

Vô hiệu hóa các điều khiển QuickTime ActiveX trong Internet Explorer

Các lỗ hổng trong các điều khiển QuickTime ActiveX có thể vô hiệu hóa trong Internet Explorer bằng cách thiết lập “kill bit” cho các CLSID dưới đây:

{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}
{4063BE15-3B08-470D-A0D5-B37161CFFD69}

Đoạn dưới đây có thể được lưu như một file .REG và được nhập để thiết lập “kill bit” cho các điều khiển này:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{4063BE15-3B08-470D-A0D5-B37161CFFD69}]
"Compatibility Flags"=dword:00000400

Vô hiệu hóa QuickTime plug-in cho các trình duyệt của Mozilla

Những người dùng các trình duyệt của Mozilla như Firefox có thể vô hiệu hóa QuickTime plugin như hướng dẫn trong bài Uninstalling Plugins.

Vô hiệu hóa file liên kết với các file của QuickTime

Vô hiệu hóa các file này để không cho các ứng dụng của Windows sử dụng Apple QuickTime để mở các file QuickTime. Phương pháp này có thể được thực hiện bằng cách xóa registry keys dưới đây:

HKEY_CLASSES_ROOT\QuickTime.*

Việc xóa này sẽ loại bỏ sự liên kết xấp xỉ 32 loại file cấu hình để mở phần mềm QuickTime Player.

Vô hiệu hóa JavaScript

Bạn có thể tham khảo cách làm vô hiệu hóa JavaScript trong bài báo Securing Your Web Browser. Bằng cách này bạn có thể chống được kiểu tấn công sử dụng QuickTime plug-in hoặc ActiveX control.

Không truy cập các file của QuickTime từ nguồn không tin cậy

Những kẻ tấn công có thể đặt các file QuickTime nguy hiểm trên các trang web. Để thuyết phục người dùng truy cập vào các trang này, chúng thường sử dụng một loạt các kỹ thuật khác nhau để tạo các liên kết sai bao gồm cả việc mã hóa URL, thay đổi địa chỉ IP, các URL dài và những lỗi chính tả có chủ tâm. Không được kích chuột vào các liên kết không do yêu cầu nhận được trong email, IM, web forum hay các kênh IRC (Internet Relay Chat). Bạn nên đánh trực tiếp vào trình duyệt để tránh các liên kết sai này.