Kritische Sicherheitslücken in Apple Quicktime für Windows - keine Patches verfügbar

15. April 2016

Beschreibung

Laut der Zero-Day-Initiative (ZDI) gibt es zwei kritische Schwachstellen in Apple Quicktime für Windows.

CVSS2 Base Score für beide (laut ZDI): 6.8

Da das Produkt Quicktime von Apple nicht mehr unterstützt und auch nicht mehr mit Updates versorgt wird, werden diese Lücken auch nicht behoben werden.

Auswirkungen

Zum Ausnützen dieser Lücken reicht es, einen Benutzer auf eine entsprechend präparierte Webseite zu locken. Es ist zu erwarten, dass entsprechende Links bald (etwa per Spam-Mail) verteilt werden.

Da der Angreifer dann potentiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN, Fileshare etc.) Daten und Systeme gefährdet.

Betroffene Systeme

Microsoft Windows Systeme mit installiertem Apple Quicktime (alle Versionen).

Soweit wir wissen, wurde Quicktime mit diversen Versionen von Apple iTunes automatisch mitinstalliert - Benutzer, die Apple iTunes unter Windows installiert haben (oder hatten) sollten also nachprüfen, ob nicht auch Quicktime mitinstalliert wurde. Ab iTunes 10.5 ist Quicktime nicht mehr für die Funktionalität von iTunes notwendig.

Abhilfe

Da das Produkt seitens des Herstellers nicht mehr unterstützt wird, lautet die Empfehlung klar, dieses zu deinstallieren. Apple hat hierzu einen eigenen Support-Artikel veröffentlicht: https://support.apple.com/de-de/HT205771.

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Die "Click-to-Play"-Funktionen aktueller Internet Browser sollten möglichst für alle Arten von Browser-Plugins verwendet werden.
Informationsquelle(n):

Erste Meldung der Zero-Day-Initiative (englisch)
http://zerodayinitiative.com/advisories/ZDI-16-241/
Zweite Meldung der Zero-Day-Initiative (englisch)
http://zerodayinitiative.com/advisories/ZDI-16-242/
Artikel bei The Register (englisch)
http://www.theregister.co.uk/2016/04/14/uninstall_quicktime_for_windows/