Webseiten infizieren PCs über Lücke in Apples QuickTime

Erste Webseiten sollen die vergangene Woche gemeldete Lücke in Apples Mediaplayer QuickTime bereits aktiv ausnutzen, um die Windows-PCs von Besuchern mit Malware zu infizieren. Angreifer können einen Pufferüberlauf durch die Manipulation der Content-Type-Header in einem RTSP-Datenstrom erzwingen und damit Schadcode in das angegriffene System einschleusen. Anwender von Apples Multimedia-Software iTunes sind von der Lücke ebenfalls betroffen, da bei der iTunes-Installation eine aktuelle Version von QuickTime auf dem System eingerichtet wird.

Zwar gab es zum Zeitpunkt der Veröffentlichung der Lücke bereits einen Proof-of-Concept-Exploit, allerdings hatte bis dato noch niemand Seiten gesichtet, die ihn enthielten. Eine von Symantec nun beobachtete Porno-Seite lädt den Exploit über einen IFrame nach und schleust in einen PC einen Downloader ein, der weiteren Schadcode nachlädt und installiert. Bislang hat Apple noch kein Update bereit gestellt, um das Problem zu beheben.

Als Workaround kommen mehrere Maßnahmen in Frage. Beim Internet Explorer hilft es, das Kill-Bit für das QuickTime-ActiveX-Control zu setzen, eine Anleitung dazu ist im Fehlerbericht des US-Cert zu finden. Beim Firefox reicht es, das Plug-in zu deaktivieren, indem man es unter Windows im Pfad /Programme/Mozilla Firefox/plugins einfach löscht. Zusätzlichen Schutz bietet es, JavaScript zu deaktivieren oder den Einsatz mit dem Firefox-Plug-in NoScript einzuschränken und die Verknüpfung des RTSP-Protokolls mit QuickTime zu lösen. Administratoren können im Netzwerk zudem die RTSP-Ports (TCP-Port 554 und UDP-Ports 6970-6999) blockieren. Das Internet Storm Center führt in seinem Blog einige IP-Adressen verdächtiger Seiten auf.

Siehe dazu auch:

• Exploit for Apple QuickTime Vulnerability in the Wild, Meldung von Symantec

(dab)