Apple härtet QuickTime nur teilweise ab

Damit kann ein Angreifer wie bisher vorhersagen, an welcher statischen Adresse eine Funktion liegt und sie mit seinem eingeschleusten Code wie in älteren Windows-Versionen einfach anspringen.

In Pocket speichern vorlesen Druckansicht 223 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

"Vertrauen ist gut, Kontrolle ist besser", dachte sich der Sicherheitsspezialiste David Maynor und stellte die neue QuickTime-Version 7.4.5 hinsichtlich der von Apple mehr oder minder heimlich eingebauten "Exploit Prevention mechanisms" (XPMs) auf die Probe. Dabei kam er überraschend zu dem Ergebnis, dass die Adress Space Layout Randomization (ASLR) unter Windows Vista für zahlreiche Bibliotheken und Anwendungen von QuickTime weiterhin deaktiviert ist. Damit kann ein Angreifer wie bisher vorhersagen, an welcher statischen Adresse eine Funktion liegt und sie mit seinem eingeschleusten Code wie in älteren Windows-Versionen einfach anspringen.

Die Funktion wsprintfA gilt eigentlich seit längerem als unsichere Funktion. QuickTime macht jedoch reichlich Gebrauch davon.

Maynor will nach eigenen Angaben nun keine Pferde scheu machen und die Bemühungen von Apple zur Erhöhung der Sicherheit nicht schmälern. Allerdings gelte bei ASLR: "Einer oder keiner". Solange eine einzige Bibliothek an einer festen Adresse liege, sei man offen für Angriffe. Maynor ermutigt trotzdem andere Hersteller wie Adobe ebenfalls dem Weg von Apple zu folgen und Verbesserungen hinsichtlich der Sicherheit für Anwender unter Windows einzubauen.

Für seine Analyse nutzte Maynor das von ihm entwickelte kostenlose Tool Looking Glass (siehe Bild), das Anwendungen und Bibliotheken daraufhin untersucht, ob sie ASLR oder NX (No Execution) unterstützen und ob sie unsichere libc-Funktionen verwenden.

Siehe dazu auch:

(dab)