Apple schließt Hintertür in QuickTime

Apple hat QuickTime 7.6.8 für Windows veröffentlicht, das zwei kritische Sicherheitslücken schließt. Bei einer der Lücken handelt es sich um die Ende August vom Sicherheitsexperten Ruben Santamarta entdeckte Lücke im ActiveX-Plug-in von QuickTime: Ein undokumentierter Parameter ließ sich missbrauchen, um Schadcode einzuschleusen und zu starten.

Darüber löst das Update die seit nunmehr vier Wochen bekannte DLL-Schwachstelle unter Windows. Laut Apple lud der QuickTime Picture Viewer nämlich in der Vorgängerversion ebenfalls DLLs aus dem aktuellen Arbeitsverzeichnis nach. Das Update entfernt das Arbeitsverzeichnis aus der Liste der DLL-Suchpfade.

Das Update ist knapp 33 MByte groß. Im Bundle mit iTunes bietet Apple aber weiterhin nur die verwundbare Version 7.6.7 an. (dab)