Kritische Schwachstelle in Apple QuickTime für Windows und Mac OS X

10. September 2009

Kritische Sicherheitslücke in Apple QuickTime Versionen vor 7.6.4

Angesichts der hohen Verbreitung der Multimediasoftware Apple QuickTime (Komponente von Mac OS und Systemerweiterung für Microsoft Windows) bittet CERT.at um Beachtung der folgenden Hinweise:

Beschreibung

Versionen von Apple QuickTime vor der Version 7.6.4 enthalten Fehler, die beim Abspielen von entsprechend präparierten Multimediadateien zum Einschleusen und Ausführen von Code ausgenützt werden können. Diese können in Webseiten enthalten sein oder über Email, Tauschbörsen, ... verbreitet werden. Apple listet in dem kumulativen Patch vom 9. Sept 2009 vier remote code execution Möglichkeiten auf, die auf H.264 oder FlashPix in Quicktime anwendbar sind.

Auswirkungen

Da der Angreifer dadurch beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Laut Apple sind sowohl die Versionen für Microsoft Windows (die z.B. mit iTunes oder als Browserplugin installiert wird) als auch für Mac OS betroffen.

Abhilfe

Nutzen Sie das Apple Software Update Programm. CERT.at empfiehlt, dort automatische Updates zu aktivieren (Bearbeiten->Einstellungen).

Alternativ können Sie die Auto-Update Funktion des QuickTime Players nutzen: (Hilfe->"Vorhandene Software aktualisieren") oder installieren Sie das Update direkt von Apple:


Informationsquelle(n):

Meldung von Apple (auf Englisch)
http://support.apple.com/kb/HT3859
Meldung bei Heise Security
http://www.heise.de/security/Vier-kritische-Luecken-in-QuickTime-geschlossen--/news/meldung/145148
Information zu Apple QuickTime auf Apple.com
http://www.apple.com/at/quicktime/
Information zu Apple QuickTime auf Wikipedia
http://de.wikipedia.org/wiki/QuickTime