Apple patcht kritische Lücken in QuickTime und iPhoto

Apple hat ein Update 7.1.2 für iLife iPhoto veröffentlicht, das eine kritische Sicherheitslücke schließen soll. Ein Angreifer kann eine Format-String-Schwachstelle in iPhoto ausnutzen, um Code auf das System eines Opfers zu schleusen und im Kontext des Anwenders ausführen. Dazu muss das Opfer aber einen manipulierten Photocast abonniert haben. Mit iPhoto können Anwender ihre digitalen Fotosammlungen untereinander austauschen. Durch einen abonnierbaren XML-Feed können sich Anwender darüber informieren lassen, wenn etwa neue Bilder zu einem Album hinzugekommen sind oder ein Album neu angelegt wurde.

Zuletzt musste Apple Anfang 2007 ein Sicherheitsupdate für iPhoto veröffentlichen, um eine Lücke zu schließen, die ebenfalls auf eine Format-String-Schwachstelle zurückzuführen war. Die Ursache war damals die fehlerhafte Verwendung der von Apples AppKit-Framework zur Verfügung gestellten Funktionen.

Zudem hat Apple das Update 7.4.1 für QuickTime veröffentlicht, das einen möglichen Buffer Overflow bei der Verarbeitung präparierter HTTP-Antworten eines Webservers verhindern soll. Laut Bericht von Apple lässt sich der Fehler ausnutzen, um das System eines Anwenders zu kompromittieren. Dazu genügt der Besuch einer manipulierten Webseite. Das Problem tritt in Zusammenhang mit RTSP-Tunneling auf.

Schon Mitte Januar musste Apple vier kritischen Lücken in QuickTime schließen, eine davon fand sich ebenfalls im Code zum Umgang mit RTSP. Apple stellt das Update für Windows XP SP2 (22 MByte), Windows Vista (22 MByte), Mac OS X v10.3.9 (50 MByte), Mac OS X v10.4.9 (51 MByte) sowie Mac OS X v10.5 (55 MByte) zum Download bereit. Zur Aktualisierung können Anwender aber auch die Update-Funktion von QuickTime benutzen.

Siehe dazu auch:

• About the security content of QuickTime 7.4.1, Fehlerbericht von Apple
• About the security content of iPhoto 7.1.2, Fehlerbericht von Apple

(dab)