zurück zum Artikel

Apples QuickTime-Plug-in für Firefox reißt eine Sicherheitslücke im Browser auf, durch die Angreifer beliebiges JavaScript ausführen oder Programme auf dem Rechner aufrufen können.

Der Sicherheitsspezialist Petko Petkov (pdp) weist in einem Blog-Eintrag auf eine Schwachstelle hin, durch die Angreifer mit präparierten QuickTime [1]-Mediendateien beliebigen JavaScript-Code mit den höchsten Rechten in Firefox ausführen oder Programme auf dem Rechner starten können. Dazu muss Firefox als Standard-Browser auf dem Rechner eingerichtet und Apples QuickTime beziehungsweise Berichten zufolge auch QuickTime Alternative installiert sein – keine ungewöhnliche Konfiguration.

Das Problem tritt auf, wenn das QuickTime-Plug-in in Firefox sogenannte QuickTime-Link-Dateien [2] (.qtl) verarbeitet. Diese XML-Dateien enthalten in der Regel einen Link auf die eigentliche Mediendatei und gegebenenfalls noch weitere Steuerungsanweisungen, die der QuickTime-Player befolgt. QuickTime interpretiert diese Anweisungen auch dann, wenn die Datei eine andere, ebenfalls mit dem QuickTime-Plug-in verknüpfte Endung wie .mov oder .mp3 besitzt.

Durch den Parameter qtnext in .qtl-Dateien kann beliebiger JavaScript-Code im Browser ausgeführt werden. Gibt ein Angreifer dort noch den Schalter -chrome an, läuft das JavaScript im Kontext von chrome – und damit mit Zugriffsrechten auf lokale Ressourcen. Petkov zufolge können Angreifer so etwa beliebige Browser-Komponenten wie Hintertüren installieren; arbeitet der Anwender mit Administratorrechten, seien auch beliebige Zugriffe auf Betriebssystemebene denkbar. heise Security konnte das Problem mit Firefox 2.0.0.6 und QuickTime 7.2.0.240 unter Windows XP mit Service Pack 2 nachvollziehen.

Wie sich Anwender schützen können, erläutert Petkov jedoch nicht. Anwender berichten, dass die NoScript [3]-Erweiterung die Beispiel-Exploits blockiert, die Petkov zur Demonstration der Sicherheitslücke in seinem Blog bereitstellt. Im Test von heise Security funktionierten die Beispiel-Exploits bei installierter NoScript-Erweiterung tatsächlich nicht. Die Deinstallation von QuickTime stellt ebenfalls eine Alternative dar. Betroffene Anwender sollten daher entweder die NoScript-Erweiterung installieren, einen anderen Standard-Browser wie Opera einrichten oder QuickTime deinstallieren, bis Apple eine aktualisierte Software-Version herausgibt.

Siehe dazu auch:

• 0DAY: QuickTime pwns Firefox [4], Sicherheitsmeldung von pdp

(dmk [5])

URL dieses Artikels:
https://www.heise.de/-174586

Links in diesem Artikel:
[1] http://www.apple.com/de/quicktime/
[2] http://developer.apple.com/documentation/QuickTime/QT4WebPage/samplechap/special-11.html
[3] https://addons.mozilla.org/de/firefox/addon/722
[4] http://www.gnucitizen.org/blog/0day-quicktime-pwns-firefox
[5] mailto:dmk@heise.de

Copyright © 2007 Heise Medien