Apple schließt sieben kritische Lücken in Quicktime

Über sechs Lücken ist es möglich, mittels präparierter Filme oder Bilder Schadcode auf ein System zu schleusen und zu starten. Bei der siebten Lücke reicht dazu schon der Besuch einer Webseite.

In Pocket speichern vorlesen Druckansicht 152 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Apple schließt mit Quicktime 7.3 sieben Schwachstellen, von denen alle als kritisch einzustufen sind, da Angreifer darüber ein System mit Schädlingen infizieren könnten. Dazu genügt es, präparierte Filme oder Bilder mit einer verwundbaren Version von Quicktime zu öffnen. Laut Fehlerbericht von Apple liegen die Ursachen für die Sicherheitslücken unter anderem in Fehlern bei der Verarbeitung von Sample-Table-Sample-Descriptor-Atomen (STSD) in Filmen, Panorama-Sample-Atomen in Quicktime-Virtual-Reality-Filmen (QTVR), Image-Description-Atomen und Color-Table-Atomen in Quicktime-Filmen. Der Begriff "Atom" steht in diesem Zusammenhang für einen Container, der Beschreibungen oder Daten enthalten kann. In der Folge lassen sich Heap Overflows gezielt provozieren und darüber Schadcode in den Speicher schleusen sowie mit den Rechten des Anwenders ausführen.

Ähnliche Fehler finden sich in den Funktionen zur Darstellung von Bildern im PICT-Format. Schließlich behebt Apple noch einen Fehler von Quicktime im Umgang mit Java-Applets, durch den sich ein System schon beim Besuch einer manipulierten Webseite kompromittieren lassen soll. Schon im April musste Apple ein Quicktime-Lücke schließen, die in Zusammenhang mit Java auftrat. Das Update steht für Mac OS X v10.3.9, Mac OS X v10.4.9, Mac OS X v10.5, Windows Vista und Windows XP SP2 zur Verfügung.

Siehe dazu auch:

(dab)