QuickTime 7.2 dichtet Sicherheitslecks ab
Mit QuickTime 7.2 behebt Apple insgesamt acht sicherheitsrelevante Fehler in der Multimedia-Software, durch die bösartige Individuen fremden Code auf betroffenen Systemen ausführen konnten.
Apple hat QuickTime 7.2 für Windows und Mac OS X veröffentlicht. Die neue Version schließt mehrere Sicherheitslücken, durch die Angreifer mit manipulierten Webseiten oder präparierten Filmdateien Schadcode auf die Rechner von QuickTime-Nutzern schleusen konnten. Außerdem will Apple zahlreiche nicht sicherheitsrelevante Fehler behoben haben; ab sofort beherrscht der QuickTime-Player auch die Vollbild-Wiedergabe.
In den Versionen vor QuickTime 7.2 können präparierte Videos, die mit dem H.264-Codec komprimiert sind, beliebigen Programmcode einschleusen. Ein ähnlicher Fehler kann auch bei allgemeinen Filmdateien auftreten. Manipulierte mp4-Container können einen Integer-Überlauf provozieren, SMIL-Dateien ähnlich wie schon beim RealPlayer zur Kompromittierung des Rechners führen. Weiterhin schließt Apple mehrere Sicherheitslücken in QuickTime for Java, durch die Angreifer mit präparierten Java-Applets etwa auf Webseiten Sicherheitsprüfungen deaktivieren und umgehen oder beliebige Bibliotheken laden und beliebig Speicherbereiche freigeben konnten. Eine der Lücken ermöglichte es Webseiten, Sreenshots anzufertigen und auf den Server zu übertragen.
QuickTime-Nutzer sollten ihre Software so bald wie möglich auf die Version 7.2 aktualisieren. Apple stellt sie kostenlos auf den Download-Seiten bereit, außerdem sollte sie mit der integrierten Aktualisierungsfunktion abrufbar sein.
Siehe dazu auch:
- About the security content of QuickTime 7.2, Sicherheitsmeldung von Apple
- Download von QuickTime 7.2 für Windows
- Download von QuickTime 7.2 für Mac OS X
(dmk)
