QuickTime-Leck ermöglicht Einschleusen von Trojanern
Angreifer können mit manipulierten Webseiten, Anhängen an E-Mails und Dateien eine Schwachstelle in QuickTime missbrauchen, um Systeme mit Schadcode zu infizieren.
Petko D. Petkov (pdp) warnt im Gnucitizen-Blog vor einer Sicherheitslücke in Apples QuickTime, durch die Angreifer mit manipulierten Dateien, Webseiten oder Anhängen an E-Mails fremden Programmcode einschleusen können. Eine aktualisierte Fassung der Software von Apple, die die Lücke schließt, steht noch aus.
Details zur Lücke veröffentlicht Petkov noch nicht, er folge der Responsible-Disclosure-Politik und wolle Apple Zeit geben, die Lücke abzudichten. Er hat aber ein Video auf YouTube hochgeladen, dass zeigt, wie das Öffnen einer mit QuickTime verknüpften Datei zum Aufruf des Windows-Taschenrechners, von WordPad und Paint führt. In dem Video führt Petkov die Lücke sowohl unter Windows XP SP2 als auch unter Windows Vista mit Service Pack 1 vor.
QuickTime-Nutzer sollten Dateien aus nicht vertrauenswürdigen Quellen bis zur Verfügbarkeit eines Updates von Apple meiden. Außerdem sollten sie die Add-ons im Browser für QuickTime deaktivieren, um das automatische Ausnutzen der Lücke beim Besuch einer bösartigen Webseite zu verhindern.
Siehe dazu auch:
- QuickTime 0day for Vista and XP, Warnung im Gnucitizen-Blog von pdp
- Video mit der Demonstration der Schwachstelle auf YouTube
(dmk)
