Apple patcht QuickTime und April-Update
Apple hat das Update 7.1.6 für QuickTime veröffentlicht, das die vor rund 10 Tagen im Rahmen des Hack-a-Mac-Wettbewerbs gefundene kritische Sicherheitslücke schließen soll. Zudem korrigiert der Hersteller das Update 2007-004.
- Daniel Bachfeld
Apple hat das Update 7.1.6 für QuickTime veröffentlicht, das die vor rund 10 Tagen im Rahmen des Hack-a-Mac-Wettbewerbs gefundene Sicherheitslücke schließen soll. Ursache der Lücke war die unzureichende Filterung der von der Java Virtual Machine (JVM) eines Browsers übergebenen Parameter an die Funktion toQTPointer der QuickTime-Java-Erweiterung (QTJava.dll). So konnte ein Angeifer über präparierte Java-Applets auf einer Webseite auf den Speicher des PC außerhalb der alloziierten Bereiche zugreifen und darüber Schadcode auf einen Rechner schleusen und starten.
Da der Fehler in QuickTime steckte, war es nach Angaben von Dino Dai Zovi, dem Entdecker der Lücke, egal, ob der Anwender die Seite mit dem Internet Explorer, Firefox oder Safari besuchte. Betroffen waren die QuickTime-Versionen für Windows und Mac OS X. TippingPoit schreibt in seinem Fehlerbericht, dass auch Windows Vista betroffen sei, allerdings gibt es derzeit keine Vista-Version von QuickTime.
Außerdem hat Apple ein Update des Security Update 2007-004 vom April für Mac OS X 10.3.9 und 10.4.9 veröffentlicht. Darin sind zwei durch die alten Patches verursachten Probleme beseitigt. So konnten die AirPort-Treiber die Verbindung nach dem Aufwachen des Systems verlieren, und der FTP-Server ermöglichte angemeldeten Nutzern den Zugriff auf Dateien außerhalb des erlaubten Bereichs. Schuld war eine fehlerhafte Konfigurationsdatei. Die neue Update-Version 1.1 enthält auch alle anderen Patches des vorherigen Updates 1.0.
Siehe dazu auch:
- About the security content of QuickTime 7.1.6, Fehlerbericht von Apple
- About Security Update 2007-004 v1.1, Fehlerbericht von Apple
(dab)
