Sicherheitslücke in Apples QuickTime
Durch eine Lücke in Apples Mediaplayer Quicktime können Angreifer mit manipulierten Movie-Dateien Programmcode einschleusen und im Systemkontext ausführen.
Der Sicherheitsdienstleister eEye hat eine Lücke in Apples Mediaplayer Quicktime entdeckt, mit dem Angreifer Code auf ein verwundbares System schleusen und im Systemkontext ausführen können. Schuld soll ein Fehler in der QuickTime.qts-Datei sein, die auch andere Applikationen zum Zugriff auf Quicktime-Funktionen benutzen. Durch manipulierte Movie-Dateien ist es möglich einen Heap-Overflow zu provozieren, mit dem sich Teile des Speichers überschreiben lassen. Im Gegensatz zu eEye geht Apple aber davon aus, dass damit nur Quicktime abstürzt und nicht das System kompromittiert werden kann. Betroffen sind laut Advisory Apple QuickTime 6.5 und Apple iTunes 4.2.0.72. Apple hat bereits Patches zur Verfügung gestellt. Alternativ können Anwender die fehlerbereinigte Quicktime-Version 6.5.1 herunterladen.
Siehe dazu auch: (dab)
- Security Advisory von eEye
