Veröffentlicht am 3.01.07, 8:23 Uhr von ml
In der aktuellen Version 7.1.3 von QuickTime befindet sich eine von den Sicherheitsexperten von Secunia als hoch kritisch eingestufte Sicherheitslücke. Bei der Interpretation von rtsp://-URLs (real time streaming protocol) ist es möglich, mit einer speziell präparierten Zeichenkette einen Pufferüberlauf in QuickTime zu provozieren. Auf diese Weise lässt sich über HTML, Javascript oder mit einer präparierten QTL-Datei fremder Programmcode in das System einschleusen und ausführen.
Mit einem Exploit lies sich diese Lücke sowohl mit der Mac- als auch mit der Windows-Version des QuickTime Players ausnutzen. Vermutlich sind auch ältere Versionen von QuickTime betroffen. Eine genauere und detailierte Darstellung findet sich hier.
Bis Apple ein Update für QuickTime bereitstellt, sollte man daher keine QTL-Dateien von nicht vertrauenswürdigen Quellen öffnen.
[Update] Inzwischen gibt es einen nicht-offiziellen Patch. Dieser setzt jedoch das Programm Application Enhancer vorraus und soll dafür sorgen, dass manipulierte URLs erkannt und korrigiert werden. Da es sich aber um keine offizielle Lösung von Apple handelt, sollte man auch hier mit Vorsicht zu Werke gehen.
Und wie ist deine Meinung? Schreib uns einfach!
Tags: Exploit, QuickTime, sicherheitslücke
ein workaround könnte auch sein, rtsp mit dem realplayer … *lautdenk*
Kritische Lücke in VLC-player: http://projects.info-pull.com/moab/MOAB-02-01-2007.html
Ein nicht-offizieller Patch hierfür:
http://landonf.bikemonkey.org/code/macosx/
Die Jungs vom VLC-Projekt haben inzwischen auch einen eigenen Fix für die Schwachstelle im VLC-Player veröffentlicht.