Month of Apple Bugs startet mit kritischer Quicktime-LĂĽcke
Der Month of Apple Bugs startet mit einer Lücke in Quicktime, die sich nicht nur unter Mac OS, sondern auch auf Windows-Systemen ausnutzen lässt. Einen Demo-Exploit liefert der Entdecker gleich mit.
Im Jahresrückblick 2007 propehezeite heise Security, dass dieses Jahr "Lücken in Mediaplayer-Plug-ins und -Software" eine zentrale Rolle spielen werden. Passend dazu eröffnet der Hacker mit dem Pseudonym LMH den Month of Apple Bugs mit einem Fehler in Quicktime inklusive Zero-Day-Exploit. Spezielle rtsp://-URLs, wie sie für Quicktime-Videos zum Einsatz kommen, können einen Pufferüberlauf auf dem Stack auslösen. Dies erlaubt es dem Angreifer, beliebigen Code auszuführen. Solche URLs lassen sich so in Web-Seiten einbetten, dass sie automatisch bei deren Besuch geöffnet werden, oder beispielsweise auch als Mails versenden.
Betroffen sind laut LMH sowohl die Mac- als auch die Windows-Version von QuickTime 7.1.3, ältere Versionen wahrscheinlich ebenfalls. Das bereitgestellte Ruby-Skript erzeugt eine Quicktime-Datei, die den Fehler ausnutzt, um auf Intel-Macs einen Neujahrsgruß über die Sprachausgabe des Apple-Sytems zu veranlassen. Bei einem Test von heise Security stürzte der Quicktime-Player lediglich ab, was aber nur auf ein Problem der hartkodierten Adressen für den Aufruf von Systemfunktionen zurückzuführen ist, die auf diesem Testsystem offenbar nicht stimmten. In einer modifizierten Version des Exploits gelang es jedenfalls, die CPU an eine vordefinierte Adresse springen zu lassen, also den Instruction Pointer gezielt zu manipulieren. Das spricht dafür, dass der Exploit auch auf dem Testsystem mit geringfügigen Anpassungen lauffähig wäre.
Es steht zu befürchten, dass bald erste Web-Seiten die Lücke ausnutzen, um Schadcode zu verbreiten. Bis eine aktualisierte Quicktime-Version zur Verfügung steht, kann man sich nur schützen, indem man die eingetragenen Programme und Plug-ins für Quicktime-Formate deaktiviert. Dies kann man unter Mac OS X im Bereich "QuickTime" der Systemeinstellungen über den Button "MIME-Einstellungen" erledigen. Dort lässt sich das RTSP-Protokoll unter dem Eintrag "Streaming - Streaming-Filme" deaktivieren. Unter Windows finden Sie den Button für die MIME-Einstellungen im Reiter "Browser" des QuickTime-Elements in der Systemsteuerung.
Siehe dazu auch:
(ju)
