Anche Second Life vittima del bug di QuickTime

Anche Second Life vittima del bug di QuickTime

Il bug del gestore RTSP di QuickTime affligge anche gli utenti di Second Life: due ricercatori hanno dimostrato con un exploit come è possibile sfruttare la vulnerabilità per ottenere il controllo degli avatar del mondo virtuale

di pubblicata il , alle 16:36 nel canale Sicurezza
 

Nei giorni scorsi avevamo riportato la notizia della scoperta di una falla di sicurezza in QuickTime che consentiva l'esecuzione di codice malevolo non autorizzato da remoto. Ora, a qualche giorno di distanza, alcuni ricercatori hanno dimostrato una tecnica per poter sfruttare la vulnerabilità anche all'interno del mondo virtuale di Second Life.

Il bug è causato dall'errata gestione degli header mal formattati da parte del gestore del protocollo Real Time Streaming Protocol (RTSP): la ricezione di un pacchetto, opportunamente modificato, causa nel computer client un buffer overflow, sfruttabile dall'attacker per eseguire codice binario a proprio piacimento.

Proprio sfruttando la vulnerabilità del protocollo utilizzato per lo streaming dei contenuti multimediali, i ricercatori Charlie Miller e Dino Dai Zovi hanno messo a punto un exploit dimostrativo all'interno di Second Life. L'exploit fa utilizzo di un oggetto come cavallo di troia: qualora un avatar si sposti nella stessa locazione dove si trova l'oggetto, attiverà automaticamente la riproduzione di un file QuickTime malevolo che andrà ad avvantaggiarsi della vulnerabilità. "Una volta che il file malevolo è stato visionato, l'attacker ottiene il completo controllo dei computer e degli avatar di Second Life delle vittime", hanno dichiarato i due ricercatori. Gli avatar infettati inviano all'attacker 12 Linden Dollars (la valuta del mondo virtuale) ed infine urlano la frase "I got hacked".

Stando ad alcuni rumor presenti in rete, pare che exploit di questo tipo siano già in circolazione e che diversi utenti ne siano rimasti vittime. Qualsiasi malintenzionato potrebbe utilizzare delle tecniche simili per trarne dei lauti guadagni: ricordiamo che i Linden Dollars possono essere convertiti in soldi reali tramite Lindex, la banca di scambio ufficiale di Second Life.

Linden Lab, la società che ha ideato Second Life, raccomanda ai propri utenti di disabilitare la visualizzazione degli stream video, almeno finché Apple non rilascerà un fix che corregga il problema. La compagnia avrebbe potuto disabilitare questa funzionalità globalmente, ma ha ritenuto opportuno non farlo per consentire agli utenti di godere dei contenuti e delle esperienze veicolate attraverso lo streaming video. Linden Lab dichiara di essere in grado di tenere traccia di eventuali attacchi e che interverrà in maniera vigorosa e risoluta nei confronti degli attacker.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
monsterman04 Dicembre 2007, 16:45 #1
si possono convertire i linden $oldi in real $oldi ????
caspita ma sono pazzi? Già ci sono cheattoni che hackerano account di mmorpg per prendere quelli virtuali qui è come un invito a nozze se si possono convertire in soldi reali ne arriveranno un casino di hackers
Cybor06904 Dicembre 2007, 16:56 #2
Sapete se il bug affligge solo il QuickTime ufficiale o se affligge anche QuickTime Alternative ?
R3GM4ST3R04 Dicembre 2007, 16:58 #3
Stiamo veramente impazzendo!
Si possono convertire i linden $oldi in real $oldi ????
Stiamo veramente impazzendo!
gabi.243704 Dicembre 2007, 17:09 #4
Nessuno vi obbliga a giocare a second life eh...
DevilsAdvocate04 Dicembre 2007, 17:19 #5
Ma per evitare che files multimediali (audio o video) potessero infettare il PC,
non era stato introdotto l'NX-bit, che doveva impedire il buffer-overflow????

Era solo marketing?????
demon7704 Dicembre 2007, 17:20 #6
Io già sapevo di questa possibilità di convertire soldi virtuali in soldi reali..

Fa un po' impressione, è vero, ma se ci pensate questo già avviene da anni: in un casinò on line per esempio compri le fishes virtuali e poi riscuoti soldi reali (se vinci!)
ZeroShift04 Dicembre 2007, 17:58 #7
Poi comunque il cambio è bassissimo, no vi immaginate che per 1 $ virtuale vi danno 1 $ reale...ora io non so quanto ci vuole, ma non è così facile come sembra..
Pikazul04 Dicembre 2007, 23:39 #8
Guardate che la moneta elettronica esiste da un bel po' di tempo, alla fine la banca di second life non è particolarmente diverso da un sistema come PayPal (E sicuramente utilizza anche sistemi di protezione contro gli hacker equivalenti, non sono mica scemi).
Solo perchè ha un interfaccia 3d non significa che SL sia un mmog, i soldi non te li "regalano" perchè passi ore a grindare mostri, ma esattamente come nel mondo reale vengono "scambiati" in cambio di beni reali o virtuali
kaharoth8407 Dicembre 2007, 11:21 #9
io non ho parole....
ormai la gente si sta rincglnd sempre di più.
Ma dico.... si possono spendere soldi reali in un mondo che rimane virtuale?
Stiamo arrivando al punto che certa gente preferisce non affrontare i problemi della vita reale e si rifugia in una vita virtuale. Li fuori c'è un'altro mondo, con i suoi problemi reali.
A me i giochi come second life preoccupano non poco, visto il successo che riscuotono.
Io studio ing. informatica e più vado avanti più mi preoccupo per gli sviluppi futuri di queste tecnologie.. sta a noi non cadere nella trappola di questo genere di giochi.


Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^