"Zero-Day" Sicherheitslücke in Apple Quicktime

24. Juli 2014

Beschreibung

Die "Zero-Day-Initiative" der Firma Tipping Point hat ein Advisory veröffentlicht, in dem vor einer "Zero Day"-Lücke (CVE-2014-4979) in Apple Quicktime gewarnt wird:
http://www.zerodayinitiative.com/advisories/ZDI-14-264/

CVSS (Common Vulnerability Scoring System) Score: 6.8, (AV:N/AC:M/Au:N/C:P/I:P/A:P)

Aktuell ist nicht bekannt, dass diese Schwachstelle in realen Angriffen verwendet wird. Es ist aber anzunehmen, dass sich nach der Veröffentlichung nun diverse Akteure darauf konzentrieren werden.

Auswirkungen

Um die Lücke auszunutzen, muss vom Benutzer eine entsprechend präparierte Webseite oder Datei geöffnet werden. Links auf diese können unter anderem per Spam-Mail verbreitet werden - es ist auch denkbar, dass Seiten, die es Usern erlauben, eigenen Content zu erstellen (etwa Blogs), mit entsprechenden Beiträgen präpariert werden.

Da ein Angreifer nach einem erfolgreichen Angriff prinzipiell beliebigen Code mit den Rechten des angemeldeten Benutzers auf den betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Von Seiten des Herstellers gibt es noch keine genaue Angabe zu betroffenen Versionen, es ist daher vorerst davon auszugehen dass alle aktuellen Versionen sowohl unter Microsoft Windows als auch unter Mac OS X anfällig für diese Lücke sind.

Abhilfe

Derzeit gibt es von Seiten des Herstellers kein Update, sobald dieses verfügbar ist sollte es durch die "automatische Update"-Funktion installiert werden.
Bis dahin wird empfohlen die Verwendung von Quicktime auf bekannte und vertrauenswürdige Dateien zu beschränken oder, wo möglich, Quicktime für den Moment zu deinstallieren.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Zero Day Initiative Advisory (englisch)
http://www.zerodayinitiative.com/advisories/ZDI-14-264/