Quicktime-hack maakt Second Life-geld kwetsbaar

Twee hackers hebben aangetoond dat ze met behulp van een Quicktime-exploit een nietsvermoedende passant in Second Life van zijn Linden dollars kunnen beroven. Apple heeft nog geen patch uitgebracht om het beveiligingsgat te dichten.

Second Life logo Beveiligingsonderzoekers Charles Miller en Dino Dai Zovi hebben de mogelijkheid tot het virtueel zakkenrollen in Second Life inmiddels doorgegeven aan de beheerder Linden Labs. Het duo gebruikt een onlangs geopenbaard lek die een buffer overflow tot gevolg heeft. Hierdoor kan een hacker ongemerkt kwaadaardige code op een andere computer uitvoeren. In de software van Second Life wordt Quicktime als een plugin gebruikt om embedded video's en foto's te tonen. De hackers zijn er in geslaagd om met aangepaste code een nietsvermoedende passant geld afhandig te maken. De Linden dollars kunnen omgewisseld worden naar echte dollars.

Volgens de twee hackers kunnen kwaadwillenden algehele controle krijgen over de avatar van een ander. In theorie stellen de twee dat het zelfs mogelijk is om de exploit zo te schrijven dat Second Life-bewoners elkaar ongemerkt besmetten. Als er voldoende virtuele burgers geïnfecteerd zijn, kan een hacker hen in een keer van al hun Linden dollars beroven. De hackers adviseren Second Life-gebruikers om de optie om streaming video te vertonen in de software voorlopig uit te schakelen.

Toch lijken de problemen voor Second Life-beheerder Linden Labs vooralsnog te overzien. Het lek in Quicktime kan door Apple gepatcht worden en tot nu toe zijn er nog geen gevallen van virtueel zakkenrollen met behulp van het lek in Second Life bekend. Linden Labs zegt alle url's voor streaming video te loggen, zodat een eventuele hacker snel opgemerkt zal worden. Toch raden beveiligingsexperts de gebruikers aan om niet teveel Linden dollars bij zich te dragen en eventuele tegoeden te converteren naar echte dollars. Ook zou het aantal hackpogingen in de virtuele wereld fors kunnen toenemen, omdat Linden Labs overweegt de broncode van Second Life als opensource vrij beschikbaar te stellen.

De exploit van het hackersduo maakt opnieuw duidelijk dat er werk aan de winkel is voor Apple. De buffer overflow, veroorzaakt door de manier waarop Quicktime omgaat met de rtsp-content-type header, komt voor op zowel Mac OS X als alle Windows-platformen. De software van Apple ligt de laatste maanden steeds vaker onder vuur. Alleen al dit jaar zijn er tenminste 32 lekken ontdekt in Quicktime. Het bedrijf zou zijn code onvoldoende testen en te traag zijn met het uitbrengen van patches. Een onderzoeker liet aan ZDNet weten dat in zijn ogen 'Quicktime de nieuwe Internet Explorer is en Apple het nieuwe Microsoft.'

IT-banen

Reacties (51)

n4m3l355 2 december 2007 16:03

Toch wel lichtelijk absurd dat enkel in een playe 32 lekken worden gevonden. Zijn dit steeds nieuwe lekken of zijn dit lekken tevens ontstaan door patches? Verder wel grappig dat nu Apple eindelijk een beetje een baan begint te maken dat ze nu ook eens te maken krijgen met alle problemen van dien waar normaal MS mee te maken krijgt. Ik ben wel benieuwd dan hoe mensen vervolgens hierop reageren en ook hoe Apple die normaal claimed dat hun software veel veiliger is erop reageert.

the_stickie @n4m3l355 • 2 december 2007 16:37

(bijna)alle software zit barstensvol fouten en foutjes. De kwestie is dat iemand de tijd moet nemen om ze te zoeken én dat dit belangrijk genoeg geacht wordt voor de (beperkte) wereldpers.
Door de stijgende populariteit van Apple (en imho ook het imago waar de bling-bling langzaamaan afvalt) is het hoe langer hoe meer een doelwit; niet alleen voor foutenzoekers, maar ook voor de pers

[Reactie gewijzigd door the_stickie op 23 juli 2024 04:16]

Verwijderd @Rex • 3 december 2007 12:03

Ehhhh waarom niet.

Het gaat om de clientsoftware he? Over de servers wordt niets vrijgegeven. Daardoor kan men dus de sftware onderzoeken of die clientsoftware veilig is, men kan aanpassingen maken voor extra functionaliteit dat linden niets kost en ontwikkelaars die zelf een concurrent willens tarten hoeven dan alleen nog maar zelf de server software aan te schaffen of te ontwikkelen. De meesten zullen het eerste doen.

Zelfde voor banken. Laat die client software maar open source worden. Dan kan men dus de gehele code inspecteren als men wat van programmeren afweet en problemen aankaarten.

Juist omdat de source van quicktime niet bekend is, komt men er nu dankzij white hackers achter dat er een probleem is. Stel je voor dat het wel criminelen zouden zijn. Niemand weet hoe lang die fout er al in zit. Niemand weet hoe lang men dus al kwatsbaar is. Bij OSS kan men dus nakijken in de oude sources of daar het euvel ook al bestond.

Zo komt men af en toe zaken tegen die in windows nt ofzo gepatcht waren die ineens weer kwetsbaar blijken te zijn in xp/vista. Bij open source hoewel niet onmogelijk, blijkt dat toch een stuk minder voor te komen.

Als je het zou vergeijken met een huis.
Dan is de impact zoveel als de blauwdrukken en een rondleiding weggeven zodat anderen er een kopie van kunnen maken. Inclusief beschrijving van waar sloten en andere alarmsystemen zitten. Zodat je buurman je kan zeggen, leuk hoor al die sloten op deuren en op ramen, dat systeem dat glasbreuk meld. Maar er ligt een ladder in je tuin en je slaapkamervenster staat altijd open......

Jungian @Rex • 3 december 2007 02:07

Ik begrijp dat open source verhaal ook niet: Je gaat toch ook niet de source van een NL bank aan iedereen beschikbaar stellen?

Als je het principe niet snapt heeft het ook geen zin om hier uitspraken over te doen, nietwaar ?

Verwijderd @Jungian • 3 december 2007 15:00

Hier ben ik het helemaal mee eens!!

Kijk bijvoorbeeld maar eens naar het oude Netscape... waar denk je dat Firefox vandaan is gekomen??

Whieee Moderator Apple Talk @n4m3l355 • 2 december 2007 23:55

een kleine nuance is wel op zijn plaats. Quicktime is niet alleen een player, maar vooral een framework, dat door elke andere applicatie gebruikt kan worden voor het afspelen of opnemen van content.

Desalniettemin -> Apple heeft weer iets te fixen

SPee @n4m3l355 • 2 december 2007 23:17

Er zit een verschil in tussen fouten in je OS en fouten in een programma.
Bv. een fout in Windows Media speler is (voor mij) minder erg als een fout in het parsen van plaatjes wat door de preview functie wordt gedaan.

Hier gaat het om een programma wat een gebruiker expliciet heeft moeten installeren. Ik denk niet dat Apple noch MS zich bugs als PRIO 1 bestempelen. Het geldt niet voor iedere gebruiker. Het is wel ernstig, veel ernstiger is het dat het gebruikt wordt in Second Life waardoor er dáár misbruik gemaakt kan worden. Dus het is eerst voor SL om dát probleem op te lossen.

Verder is het wel de taak voor Apple om deze bug op te lossen. Maar deze mag niet maanden op zich laten wachten. Daarvoor is dit probleem hier te groot voor.

Laurens-R @SPee • 3 december 2007 01:00

Minder erg? Als de gevolgen hetzelfde zijn, maakt het me geen ene meter uit of de bug nou in het OS of de apps zitten

Als het in beide gevallen betekend dat m'n geld afgetroggeld kan worden, dat al m'n prive gegevens op straat liggen of dat m'n computer ineens onderdeel uitmaakt van een botnet dan maakt het mij geen moer uit welk deel van m'n systeem komt.

Vergeet niet dat een OS ook gewoon maar software is. Wellicht software die een abstractie voor gebruikers en ontwikkelaars levert om met computers te kunnen werken, maar meer dan dat is het ook niet. Tuurlijk kan een OS veiligheidsvoorzieningen inbouwen om hackschade te beperken. Maar het maakt qua schade echt geen meter uit of je firefox nou een bug bevat, of je MacOS (Windows etc) een lek heeft.

P.S: Bij MacOS heb je eigenlijk geen keus bij het installeren van quicktime. Je kan het als je het echt wilt er wel uit laten, maar dan moet je het wel zonder een hele stoot aan functionaliteit doen.

[Reactie gewijzigd door Laurens-R op 23 juli 2024 04:16]

Erkel 2 december 2007 20:10

Ik geloof inderdaad dat het aantal hackpogingen wel toeneemt als het opensource wordt, maar wat ik niet begrijp is de reden waarom ze het opensource zouden maken?

Bloodshot @Erkel • 3 december 2007 07:28

Waarschijnlijk hierom:
- Eerst volgt een explosie van extra features die door gebruikers zijn geschreven
- Dan volgt er een explosie van bugs die deels te wijten zijn aan de nieuwe plugins van gebruikers.
- Tot slot worden de bugs voor het overgrote deel gefixt en is het produkt er behoorlijk beter op geworden.
Bovenstaand verhaal is uiteraard mijn nederige mening.

Verwijderd 2 december 2007 16:04

Ik vind het idee dat viruteel geld kan omgezet worden tot echt geld sowieso al op nix slaan, toch niet in spelvorm als dit.

Dat er vroeg of laat een exploit zou gevonden worden om mensen op deze manier te beroven stond al vast, het was maar een kwestie van tijd..

Ik hoop dat er in de toekomst niet NOG zulke spellen uitkomen als Second Life, mensen die er verslaafd aan raken kunnen echt veel geld gaan verliezen..

Vriendelijke groet,
Pieter

MAX3400 @Verwijderd • 2 december 2007 16:16

Ik hoop dat er in de toekomst niet NOG zulke spellen uitkomen als Second Life, mensen die er verslaafd aan raken kunnen echt veel geld gaan verliezen..

Vriendelijke groet,
Pieter

Want? Geld verlies je aan WoW bijvoorbeeld want daar heb je geen mogelijkheid (tenminste, niet helemaal officieel) om je prestaties om te zetten in echt geld terwijl je alleen maar echt geld uitgeeft aan je abonnement en/of uitbreidingssoftware. En in Second Life heb je dat wel. Sterker nog; ik dacht dat de IRS (Income Revenue Service) in Amerika zelfs op jacht was naar Second Life spelers die een te groot bedrag bijverdienden maar dat niet opgaven aan de fiscus.

Welkom op T.net trouwens; groeten is in het algemeen niet nodig.

[Reactie gewijzigd door MAX3400 op 23 juli 2024 04:16]

Verwijderd @MAX3400 • 2 december 2007 18:27

Je betaalt WoW om te blijven kunnen spelen. Aan je TV abbo betaal je toch ook maandelijks, om te kunnen kijken? Of als je Crysis koopt, betaal je toch ook voor de DVD en om het spel te kunnen spelen? Ja, daar verlies je geld aan, maar verder heeft dat niets te maken met de ingame experience.

Daarentegen zijn spellen als Second Life gewoon een replacement voor het echte leven, en geld daar geldt ook als geld in het echt, omdat je het zomaar kan omzetten in echt geld... Eigenlijk is het dus net zo goed een gokpraktijk, maar virtueel en dus onopgemerkt. Mensen die dan zo'n spel onwetend binnenkomen kunnen tonnen aan geld verliezen wanneer ze verslaafd raken aan een virtueel leventje, dat niet eens 'echt' is.

Verwijderd @Verwijderd • 2 december 2007 18:49

We kunnen al geen vrede hebben in de real world

Maar goed vind het hele 2e leven er al voor geen meter uitzien.
Dat er geld in om gaat zou al verboden moeten worden

Laurens-R @Verwijderd • 3 december 2007 15:17

Zulke lelijke graphics zouden al verboden moeten worden

Sorry kon het niet laten

Verwijderd @Verwijderd • 2 december 2007 20:20

Wil je dan ook een halt toe roepen aan de realiteit om je? Want dat is nu net wat second life wil beogen, een tweede realiteit zijn. En zoals je in je echte leven ook kan geplunderd worden kan dat ook in second life. Je zal zelfs nog heel veel van dit soort "games" zien verschijnen omdat second life een blauwdruk is van het internet van morgen.Of dacht je echt dat de interfaces voor het internet eeuwig 2D zouden blijven?

Turiya @Verwijderd • 2 december 2007 21:07

In het echte leven ben je gelukkig niet opeens je geld kwijt zit omdat er een foutje in de programmatuur zit, vergelijk gaat (gelukkig) nogal mank

Verwijderd @Verwijderd • 3 december 2007 06:02

Blauwdruk? kom op man dat soort 3D werelden bestaat al jaren en second life mag zich schamen het er nog steeds even slecht eruit ziet en traag is.

En als je een 3D interface wil waarom dan op zo'n brakke manier?
Het lijkt me al totaal onverantwoordelijk zolang men geen 100% securety kunnen bieden om zulke bedragen kunnen toespitsen in een hopeloos spel.

Een spel moet fun zijn niet een marktplaats om beroofd te worden dan loop je de realiteit voorbij.

Ze doen het niet voor vernieuwing maar puur voor de poen.

Soldaatje 2 december 2007 16:46

Ook zou het aantal hackpogingen in de virtuele wereld fors kunnen toenemen, omdat Linden Labs overweegt de broncode van Second Life als opensource vrij beschikbaar te stellen.

Waarom dan? Als ze de boel OS maken dan zou het toch juist veiliger moeten worden?
Ok in het begin zullen er veel dingen gehackt worden maar er zullen even snel oplossingen voor gevonden worden.

blspjnl 2 december 2007 18:19

Natuurlijk kan LindenLabs elke transactie traceren, maar hoeveel transacties vinden er wel niet plaats op 1 dag? Ik denk dat er enkele hackers van zullen gaan profiteren, omdat daarna het lek wordt gedicht en alles nog beter in de gaten gehouden wordt. Als je eenmaal je real-life geld hebt, dan boeit het je als hacker toch niet wat er met je 2nd life char gebeurd, je hebt je buit immers al binnen.

Verwijderd 2 december 2007 22:29

Wat een onzin allemaal. Gewoon een poging om de zaak weer wat leven in te blazen.
En als het waar is dan is het wel leuk want dan kan je net als in het echte leven beroofd worden. En waar praten we over, een spelletje...

Joerdgs 3 december 2007 08:05

Second Life heeft er voor mij nooit echt uitgezien als een sterk staaltje gaming technologie, dus het valt me nog mee dat ze nu pas Linden Dollars weten te gappen. Ikzelf heb SL nooit geprobeerd, ik heb het niet zo met MMOs. Veel te weinig actie!

Tja... en Apple, die begint nu ook een beetje te realiseren wat het is om software gigant te zijn. Normaal leek dit altijd aan MS voorbehouden, misschien krijgt men (vooral de MS-bashers) daar nu ook wat meer begrip voor.

Neko Koneko @Joerdgs • 3 december 2007 09:45

Waarschijnlijk niet. Let maar op hoe de reacties van Apple gebruikers zijn als er iets mis is met een MS programma, dan is de wereld te klein. Als er bij Apple een bug inzit dan "kan dat gebeuren, software bevat nu immers fouten".

Rigs @Neko Koneko • 3 december 2007 13:48

touché

reb65 2 december 2007 16:08

Wanneer houden ze nou eens op met de bericht geving rondom secondlife, het is niets en zal nooit wat worden.. Hoe dit ooit zo overdreven in de media is gekomen is mij een raadsel.

Daarnaast net of deze quicktime bug het ergste is wat de gebruikers van secondlife moeten vrezen, keyloggers, phishingsites en trojans vormen een veel groter risico voor dit soort online applicaties.
Daarnaast is de kans dat je op straat iemand tegenkomt die graag jou portemonee wil hebben waarschijnlijk vele male groter dan iemand die jou die paar euro die je op je Secondlife account hebt gezet wil afhandig maken..

Ik snap werkelijk waar de ophef niet hierover.. zoveelste storm in een glas water rondom secondlife

En 32 lekken in een media speler lijkt veel maar ieder stukje software bevat fouten die kwaadwillende kunnen gebruiken..
Zoals altijd kan slechts een klein aantal daadwerkelijk worden gebruikt, in verreweg de meeste gevallen gaat het om bijzondere situaties en vaak nog alleen in combinatie met andere software ontstaan. Hierdoor is het voor hackers meestal totaal niet lonend om van dit soort lekken gebruik te maken.. Neemt natuurlijk niet weg dat het apple zou sieren als ze er iets beter op zouden zitten..

[Reactie gewijzigd door reb65 op 23 juli 2024 04:16]

Verwijderd @reb65 • 2 december 2007 16:15

Tegen de tijd dat je enige tientallen mensen op straat gerold hebt ben je waarschijnlijk al wel een keer opgepakt. Als je in één dag bijvoorbeeld 10.000x een paar dollar kunt stelen en vervolgens van het net verdwijnt kan dat toch behoorlijk lukratief zijn.

MAX3400 @Verwijderd • 2 december 2007 16:18

Als je leest zit die mogelijkheid erin; als men elkaar besmet, kan je uiteindelijk met 1 druk op de knop iedereen van zijn geld beroven. Denk dat dat wel stuk meer is dan 10K of 20K waar jij het over hebt, vooral als je bedenkt dat sommige stukken land (dacht ik) voor tegen de $8000 zijn ver-/gekocht.

[Reactie gewijzigd door MAX3400 op 23 juli 2024 04:16]

reb65 @MAX3400 • 2 december 2007 16:22

Ja en dan heeft de hacker een hoop virtueel geld. En hoe wil hij dat gaan omzetten naar echt geld dan.. Denk je niet dat alle alarmbellen gaan rinkelen als iemand vanuit niets ineens giga bedragen vanuit secondlife gaat cashen? Of dat de ze niet na kunnen gaan waar de bedragen zijn gebleven die als gestolen worden opgegeven door gebruikers. het stelen is een maar in een virtuele wereld is het vrij lastig om ongezien weg te komen..

iedere transactie is in Secondlife door de makers te traceren. Het moet daarom echt geen probleem zijn om die hackers te stoppen voor ze het virtuele geld hebben omgezet in echt geld..

Het in een keer stelen van veel geld zoals de twee posters hierboven voorstellen lijkt mij dan ook niet erg aannemelijk.

[Reactie gewijzigd door reb65 op 23 juli 2024 04:16]

i-chat @reb65 • 2 december 2007 17:46

en je kunt natuurlijk niet gewoon lindo dolars verkopen??? bijv door

1000 accounts af te sluiten, die een stukje grond te laten kopen voor 100$ en vervolgens hun grond kopen voor 1000$ en daar in real life weer 850$ voor terug krijgen

lijkt me dat een paar honderd van zulke transacties niet heel erg op vallen in de duizenden die er dagelijks in SL worden gevoerd...

the_stickie @reb65 • 2 december 2007 16:41

het is niet en zal nooit wat worden

je gaat er even aan voorbij dat Second Life een miljoenenbussiness is (geworden), dat zowat alle grote bedrijven eraan deelnemen, dat second life een van de eerste virtuele wereleden is die redlijk bekend is bij het grote publiek, dat second life een inkomstenbron is voor velen etc...

Het is misschien voor jou allemaal niet zo interessant, maar zaken zijn zaken nietwaar

reb65 @the_stickie • 2 december 2007 16:45

9 uit de 10 bedrijven die er zuhn in gestapt hebben dat gedaan doordat het gehyped was vanuit de media. Vervolgens kwamen echter de meeste bedrijven er achter dat er helemaal niet zoveel Nederlanders actief zijn in secondlife. De grote bedrijven die er dan ook winst uit hebben gehaald hebben zijn op een hand te tellen..

De enige bedrijven die er echt winst uit halen zijn de makers van secondlife en wat bedrijfjes die diensten zijn gaan aanbieden die betrekking hebben op second life.. En dat is niets nieuws, kijk maar naar alle gold en item farm diensten die aan alle MMO's kleven, dit zijn ook bedrijven met miljoenen omzet...

[Reactie gewijzigd door reb65 op 23 juli 2024 04:16]

Sijmen @the_stickie • 3 december 2007 00:41

De grootste hoax aller tijden wat mij betreft. Ik kan me niet voorstellen dat de meeste bedrijven die dat deden hier meer uit hebben gehaald dan er in ging.

g4wx3 2 december 2007 17:36

Ik heb quicktime nooit gemogen, de reden dat ik dus ook geen itunes wil.Het feit dat je webcontent kon afspelen in (aloude) quicktime is een van de eerste tekenen die mij zorgen heeft doen baren.

Ik vind het hatelijk als er mensen zijn die media in mov aanbieden.Onlangs zelfs verplicht geweest om het te instaleren, omdat - op een beveiligde site /sabam -ik dingen niet kon afspelen, ook al kan ik dat lokaal wel, mbhv k-lite codeck pack (media player clasic)

Zowel ram, als mov, als wmv, dienen gewoon geband te worden, doe het gewoon met flv!

Dan heeft er niemand probs, tenzij linux mensen mischien?

Wim Leers @g4wx3 • 2 december 2007 18:21

Flash is evenzeer proprietary als ram, mov en wmv. Wat er moet gebeuren, is dat we overschakelen naar h.264 (meestal in .mp4/.m4v/.mkv container files). Jammer genoeg kunnen oudere computers dat niet aan en wordt daar dus nog niet erg hard aangewerkt.

Quicktime heb ik altijd het minst erg gevonden van "de drie" (Quicktime, Windows Media Player en Real Player). Maar de hoeveelheid lekken die er nu gevonden wordt, is op zn zachtst gezegd schandalig veel. (En ja ik ben een Apple gebruiker.)

alienfruit @Wim Leers • 2 december 2007 19:47

Gelukkig ondersteunt Flash 9 h.264

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (51)

Sorteer op:

Weergave: