Windows users with iTunes beware! Apple has opted you in to install their vulnerable Safari browser on your computer with iTunes updates. You must click the Safari update box off before updating iTunes if you don’t want to install Safari.

iTunes를 사용하시는 Windows 사용자분들께서는 조심하십시오! Apple은 iTunes업데이트에 보안에 문제가 있는 Safari를 끼워넣었습니다. iTunes를 업데이트 하실 때 Safari를 원하지 않으신다면 체크를 해제하시기 바랍니다.

PWN to OWN Day Two: First Winner Emerges!:
PWN to OWN 2번째날 : 첫번째 승자가 나타났습니다.:

They were able to exploit a brand new 0day vulnerability in Apple’s Safari web browser. Coincidentally, Apple has just started to ship Safari to some Windows machines, with its iTunes update service. The vulnerability has been acquired by the Zero Day Initiative, and has been responsibly disclosed to Apple who is now working on the issue.

그들은 Safari의 새로운 0day 보안 문제점을 exploit하였습니다. 우연히도 Apple에서는 iTunes 업데이트를 통해서 윈도우즈에도 Safari를 설치하기 시작했습니다.  Zero Day Initiative 에게 전달된 이 보안상의 문제는 Apple 에게 보내졌고 현재 작업중에 있습니다.


So if you update iTunes and install Safari, you’re getting this exploitable code on your computer.
그러므로 만약 iTune를 업데이트 하면서 Safari를 설치하신다면 컴퓨터에는 문제가 있는 코드가 설치되게 됩니다.

I may have more information about the nature of the exploit tomorrow. :-)
내일 이 이야기에 대해서 더 해드리겠습니다.:-)

EDIT/UPDATES:
편집 / 추가

  1. The exploit Charlie Miller used to win the coveted Macbook Err involved a telnet exploit via privilege escalation from a malformed/malicious link. Reportedly. We’ll find out when Apple gets around to fixing it. Which brings me to another point…
    Charlie Miller가 MacBook Err(Air)을 뚫을 때 악의적인 링크로 부터 권한 상승을 얻어내는 방법을 이용하였습니다. 소문에 의하면 말이죠. 우리는 Apple이 언제 그 문제를 수정할지 곧 알게 될 것 입니다(?). (?)
  2. Before anyone dismisses my objections to Apple’s requirement that users opt-out of installing Safari when updating iTunes, look at Secunia’s new advisory. Note that it’s highly critical. Safari is buggy and vulnerable in OSX. It’s even worse in Windows.
    Apple의 Safari 끼워 넣기에 반대하는 나의 생각을 잊은분들은 Secunia의 새 소식을 보기 바랍니다.(?) 이것은 아주 심각하다는것을 명심해주세요. 사파리는 버그가 많으며 OSX에서 보안상 취약한 점을 가지고 있습니다. 그리고 윈도우에서는 더욱 심각합니다.


원본 사이트 : http://lucky13linux.wordpress.com/2008/03/27/pwn2own-confirmation-0day-in-safari/

Posted by Parker Falcon