Quicktime ist löchrig

Der polnische Sicherheitsforscher Krystian Kloskowski hat im Quicktime Player 7.6.6 eine Lücke ausgemacht, die es Angreifern ermöglichen kann, Code einzuschleusen und auszuführen. In Erfolgsfall können Kriminelle so die Kontrolle über das kompromittierte System erlangen. Der dänische Sicherheitsdienstleister Secunia stuft die Schwachstelle als «Highly critical» ein, die zweithöchste Risikostufe.

Der Fehler steckt im Programmmodul QuickTimeStreaming.qtx. Ein Angreifer könnte die Lücke ausnutzen, in dem er potenzielle Opfer auf eine vorbereitete Web-Seite lockt, die eine präparierte SMIL-Datei (Synchronized Multimedia Integration Language) lädt. Die SMIL-Datei würde eine sehr URL (Web-Adresse) enthalten, was bei der Verarbeitung durch Quicktime zu einem Puffer-Überlauf führen würde.

Unklar ist derzeit noch, welche weiteren Quicktime-Versionen ebenfalls anfällig sind. Eine Stellungnahme von Apple steht noch aus, ein Sicherheits-Update gibt es auch noch nicht. Der zurzeit einzig wirksame Schutz vor (bislang noch nicht gemeldeten) Angriffen auf diese Lücke ist die Deinstallation von Quicktime oder zumindest des Plug-Ins für den Web-Browser..