Apple schließt fünf kritische Sicherheitslücken in QuickTime
Mit QuickTime 7.5 beseitigt der Hersteller fünf Lücken, die allesamt das Einschleusen und Ausführen von Code ermöglichen.
- Daniel Bachfeld
Mit QuickTime 7.5 beseitigt Apple fünf Sicherheitslücken, die allesamt das Einschleusen und Ausführen von Code ermöglichen. Ursache der Probleme sind jeweils ein Buffer und Heap Overflow beim Öffnen präparierter PICT-Dateien, ein Speicherfehler beim Öffnen bestimmter AAC-kodierter Medien sowie ein weiterer Buffer Overflow im Zusammenhang mit dem Indeo-Video-Codec.
Außerdem schließt Version 7.5 eine Lücke im QuickTime-Player im Umgang mit manipulierten URLs. Die Lücke war seit Ende April bekannt, Einzelheiten darüber erhielt aber nur Apple. Zwar hat Apple in Version 7.4.5 ohne viel Aufhebens "Exploit Prevention Mechanisms" (XPMs) eingebaut, die unter Vista das Ausnutzen von Buffer Overflows und anderen Lücken erschweren soll. Allerdings ist etwa die Adress Space Layout Randomization (ASLR) unter Windows Vista für zahlreiche Bibliotheken und Anwendungen von QuickTime weiterhin deaktiviert – dazu gehört auch der nun als verwundbar eingestufte Indeo-Codec.
Das Update steht für Mac OS X v10.3.9, Mac OS X v10.4.9 bis v10.4.11, Mac OS X v10.5 und spätere Versionen sowie Windows Vista und Windows XP SP2 zum Download zur Verfügung. SP3 für XP ist zwar nicht explizit erwähnt, das Update dürfte aber dennoch funktionieren. Insgesamt stellt Apple mit Version 7.5 das vierte Update in diesem Jahr für QuickTime bereit, um insgesamt 20 zumeist kritische Lücke zu schließen. Ähnlich oft mussten sonst nur die Entwickler von VLC Lücken in einem Mediaplayer schließen.
Siehe dazu auch:
- About the security content of QuickTime 7.5, Fehlerbericht von Apple
(dab)
