Vier kritische Lücken in Apples QuickTime

Apple hat das Update 7.4 für QuickTime veröffentlicht, das vier kritische Sicherheitslücken schließen soll. Drei der Lücken ermöglichen es Angreifern, über präparierte Filme Schadcode in einen Rechner zu schleusen und mit den Rechten des angemeldeten Anwenders zu starten. Dazu reicht es, dass das Opfer eine präparierte Webseite besucht oder einen in einer Mail enthaltenen Film öffnen. Die vierte Lücke steckt in der Verarbeitung komprimierter PICT-Dateien. Apple stellt das Update für Windows XP SP2 (22 MByte), Windows Vista (22 MByte), Mac OS X v10.3.9 (50 MByte), Mac OS X v10.4.9 (51 MByte) sowie Mac OS X v10.5 (55 MByte) und Folgeversionen zum Download bereit.

Die vergangene Woche gemeldete Lücke in QuickTime bleibt indes weiter offen. Manipulierte RTSP-Server können dem Client dabei ebenfalls Schädlinge unterschieben. Apple hatte in den vergangenen Monaten mit zahlreichen Lücken in QuickTime zu kämpfen, die allesamt das Einschleusen von Code erlaubten. Im Dezember schloß der Hersteller vier Lücken, im November sieben Lücken und im Oktober eine. Davor stopfte Apple im Juli mehrere Löcher im QuickTime-Framework.

Allerdings kann man alternative Mediaplayer auch nicht ohne Weiteres empfehlen. Der unter anderem in der ZDF-Mediathek vorgeschlagene VLC Media Player fiel in den vergangenen Wochen ebenfalls durch mehrere Schwachstellen auf. Derzeit scheint Microsoft Windows Media Player mit wenig Sicherheitsproblemen kämpfen zu müssen. Allerdings sollten Anwender sich nicht in falscher Sicherheit wiegen: Das Ausbleiben von Sicherheits-Updates bedeutet nicht zwangsläufig, dass es keine Lücken gibt.

Siehe dazu auch:

• About the security content of QuickTime 7.4, Fehlerbericht von Apple

(dab)