QuickTime reißt Sicherheitsleck in Firefox auf
Apples QuickTime-Plug-in für Firefox reißt eine Sicherheitslücke im Browser auf, durch die Angreifer beliebiges JavaScript ausführen oder Programme auf dem Rechner aufrufen können.
Der Sicherheitsspezialist Petko Petkov (pdp) weist in einem Blog-Eintrag auf eine Schwachstelle hin, durch die Angreifer mit präparierten QuickTime-Mediendateien beliebigen JavaScript-Code mit den höchsten Rechten in Firefox ausführen oder Programme auf dem Rechner starten können. Dazu muss Firefox als Standard-Browser auf dem Rechner eingerichtet und Apples QuickTime beziehungsweise Berichten zufolge auch QuickTime Alternative installiert sein – keine ungewöhnliche Konfiguration.
Das Problem tritt auf, wenn das QuickTime-Plug-in in Firefox sogenannte QuickTime-Link-Dateien (.qtl) verarbeitet. Diese XML-Dateien enthalten in der Regel einen Link auf die eigentliche Mediendatei und gegebenenfalls noch weitere Steuerungsanweisungen, die der QuickTime-Player befolgt. QuickTime interpretiert diese Anweisungen auch dann, wenn die Datei eine andere, ebenfalls mit dem QuickTime-Plug-in verknüpfte Endung wie .mov oder .mp3 besitzt.
Durch den Parameter qtnext in .qtl-Dateien kann beliebiger JavaScript-Code im Browser ausgeführt werden. Gibt ein Angreifer dort noch den Schalter -chrome an, läuft das JavaScript im Kontext von chrome – und damit mit Zugriffsrechten auf lokale Ressourcen. Petkov zufolge können Angreifer so etwa beliebige Browser-Komponenten wie Hintertüren installieren; arbeitet der Anwender mit Administratorrechten, seien auch beliebige Zugriffe auf Betriebssystemebene denkbar. heise Security konnte das Problem mit Firefox 2.0.0.6 und QuickTime 7.2.0.240 unter Windows XP mit Service Pack 2 nachvollziehen.
Wie sich Anwender schützen können, erläutert Petkov jedoch nicht. Anwender berichten, dass die NoScript-Erweiterung die Beispiel-Exploits blockiert, die Petkov zur Demonstration der Sicherheitslücke in seinem Blog bereitstellt. Im Test von heise Security funktionierten die Beispiel-Exploits bei installierter NoScript-Erweiterung tatsächlich nicht. Die Deinstallation von QuickTime stellt ebenfalls eine Alternative dar. Betroffene Anwender sollten daher entweder die NoScript-Erweiterung installieren, einen anderen Standard-Browser wie Opera einrichten oder QuickTime deinstallieren, bis Apple eine aktualisierte Software-Version herausgibt.
Siehe dazu auch:
- 0DAY: QuickTime pwns Firefox, Sicherheitsmeldung von pdp
(dmk)
