zurück zum Artikel

Das USCert hat eine Warnung vor einem Buffer Overflow in Apples aktueller Quicktime-Version veröffentlicht.

Das USCert warnt [1] vor einem Buffer Overflow in Apples aktueller Quicktime-Version. Angreifer können einen Pufferüberlauf durch die Manipulation der Content-Type-Header in einem RTSP [2]-Datenstrom erzwingen und damit auch Schadcode in das angegriffene System einschleusen. Anwender von Apples Multimedia-Software iTunes sind von der Lücke ebenfalls betroffen, da bei der iTunes-Installation eine aktuelle Version von Quicktime auf dem System eingerichtet wird.

Im milw0rm-Archiv sind bereits Beispielprogramme aufgetaucht, die die Lücke demonstrieren sollen. Da es von Apple noch keinen Patch für diese Lücke gibt, ist die einzige Abhilfe für das Abspielen von RTSP-Strömen andere Software zu nutzen oder die Nutzung von Streaming-Daten über die Firewall einzuschränken. Vorsicht ist auch bei QuickTime-Link-Dateien (.qtl) angebracht, da diese ebenfalls RTSP-Quellen referenzieren können. Die Version 7.3 hatte Apple erst vor wenigen Wochen veröffentlicht [3]. (ll [4])

URL dieses Artikels:
https://www.heise.de/-199142

Links in diesem Artikel:
[1] http://www.kb.cert.org/vuls/id/659761
[2] http://tools.ietf.org/html/rfc2326
[3] https://www.heise.de/news/Apple-schliesst-sieben-kritische-Luecken-in-Quicktime-192439.html
[4] mailto:ll@ct.de

Copyright © 2007 Heise Medien