Apple patcht QuickTime und Bonjour

Apple hat mit Version 7.5.5 des QuickTime-Frameworks neun Sicherheitslücken geschlossen. Acht davon stuft das Unternehmen als kritisch ein, da sich darüber Code in ein verwundbares System schleusen und starten lässt. Einige der Fehler sind allerdings nur in der Windows-Version zu finden.

Die Fehler beruhen auf Integer, Buffer und Heap Overflows sowie Speicherfehlern etwa im Indeo-Codec oder den Parsern zur Verarbeitung von QTVR-(QuickTime Virtual Reality) und H.264-kodierten Filmen sowie PICT-Bildern. Für einen erfolgreichen Angriff genügt es, dass das Opfer eine präparierte Datei öffnet. Das Update steht für Windows Vista, XP SP2 und SP3 und Mac OS X v10.4.9 bis v10.4.11 sowie Mac OS X v10.5.x zum Download bereit.

Apple hat zudem das Update 1.0.5 für die Windows-Version seines Netzwerkdienstes Bonjour herausgegeben, das zwei Schwachstellen schließen soll. Bei der ersten handelt es sich um das bekannte Cache-Poisoning-Problem, für das auch der mDNSResponder anfällig ist. Die zweite Schwachstelle ermöglicht es, den mDNSResponder mit präparierten .local-Domain-Namen zum Absturz zu bringen. Das Update steht für Windows Vista, XP SP2 und SP3, Server 2003 und 2000 bereit.

Darüber hinaus hat Apple Informationen veröffentlicht, welche Sicherheitslücken in iTunes 8.0 und der neuen Firmware des iPod Touch beseitigt sind. Im iPod Touch sind es derer fünf, wobei eine im WebKit das Einschleusen von Code ermöglicht. In iTunes sind es hingegen nur zwei unkritische.

Siehe dazu auch:

• About the security content of QuickTime 7.5.5 , Fehlerbericht von Apple
• About the security content of Bonjour for Windows 1.0.5, Fehlerbericht von Apple
• About the security content of iPod touch v2.1, Fehlerbericht von Apple
• About the security content of iTunes 8.0 , Fehlerbericht von Apple

• QuickTime im heise Software-Verzeichnis
• Bonjour für Windows im heise Software-Verzeichnis

(dab)