Quicktime-Taschendiebstahl in Second Life
Mit Hilfe manipulierter Filmchen, die in der Online-Spielwelt teils automatisch wiedergegeben werden, können Angreifer unter Umständen Avataren Linden-Dollars aus der Tasche ziehen und sie zu anderen unwillkürlichen Aktionen zwingen.
Linden Lab, die Betreiberfirma der virtuellen Online-Welt Second Life [1], warnt Spieler vor den Konsequenzen der kürzlich entdeckten Schwachstelle in Quicktime [2], die andernorts im Netz bereits aktiv ausgenutzt wird. Das Video-Framework von Apple übernimmt auch in der virtuellen Spielwelt die Wiedergabe von eingebetteten Videosequenzen. Laut einem Bericht von MercuryNews.com ist es Sicherheitsexperten bereits gelungen, einen manipulierten Videoclip herzustellen, der in der Spielwelt zusehenden Second-Life-Avataren 12 Linden-Dollar (rund 4,5 US-Cent) aus der Tasche zieht und sie zu der Äußerung "I got hacked" zwingt.
![Bild 1 [250 x 206 Pixel @ 60,2 KB]](https://heise.cloudimg.io/width/696/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/1/9/8/7/5/5/c5f56fc6d6635cfb.png)
Videoinhalte gehören inzwischen zur weit verbreiteten Ausstattung in Second Life, etwa von virtuellen Firmenpräsenzen, Geschäftsräumen und Kinos. Auch Tutorials sind oft in Form von kurzen Quicktime-Filmchen verfasst. In der Voreinstellung gibt der Second-Life-Client in der Avatar-Umgebung verfügbare Videoinhalte teils automatisch wieder.
Die Second-Life-Betreiber räumen zwar ein, dass sie vorübergehend sämtliche Videoinhalte in ihrer virtuellen Spielwelt deaktivieren könnten, wollen jedoch aus Rücksicht auf die legitimen Streaming-Inhalte davon absehen. Es bestehe stets die Möglichkeit, Anbieter schädlicher Video-Streams zu erkennen und nötigenfalls rechtlich zu verfolgen.
Linden Lab empfiehlt jedoch ausdrücklich, das Video-Streaming in Second Life bis zum Erscheinen eines Sicherheits-Updates für Quicktime zu deaktivieren und Videos nur in vertrauten Spielwelt-Regionen bei Bedarf zuzulassen. Die Option ist zu erreichen unter Einstellungen / Audio & Video / Streaming-Video abspielen, wenn verfügbar.
Siehe dazu auch:
- Webseiten infizieren PCs über Lücke in Apples QuickTime [3], Meldung von heise Security
- Second Life Viewer Susceptible to Quicktime Security Flaw [4], Blog-Eintrag von Linden Lab
- Second Life pickpockets threaten real world cash potential [5], Bericht von MercuryNews.com
(cr [6])
URL dieses Artikels:
https://www.heise.de/-201963
Links in diesem Artikel:
[1] http://secondlife.com/
[2] https://www.heise.de/news/Erneut-kritische-Luecke-in-Quicktime-7-3-199142.html
[3] https://www.heise.de/news/Webseiten-infizieren-PCs-ueber-Luecke-in-Apples-QuickTime-201725.html
[4] http://blog.secondlife.com/2007/12/02/second-life-viewer-susceptible-to-quicktime-security-flaw/
[5] http://www.mercurynews.com/search/ci_7609295
[6] mailto:cr@ct.de
Copyright © 2007 Heise Medien