06.11.2007 11:02
Apple schließt mit Quicktime 7.3 sieben Schwachstellen, von denen alle als kritisch einzustufen sind, da Angreifer darüber ein System mit Schädlingen infizieren könnten. Dazu genügt es, präparierte Filme oder Bilder mit einer verwundbaren Version von Quicktime zu öffnen. Laut Fehlerbericht von Apple liegen die Ursachen für die Sicherheitslücken unter anderem in Fehlern bei der Verarbeitung von Sample-Table-Sample-Descriptor-Atomen (STSD) in Filmen, Panorama-Sample-Atomen in Quicktime-Virtual-Reality-Filmen (QTVR), Image-Description-Atomen und Color-Table-Atomen in Quicktime-Filmen. Der Begriff "Atom" steht in diesem Zusammenhang für einen Container, der Beschreibungen oder Daten enthalten kann. In der Folge lassen sich Heap Overflows gezielt provozieren und darüber Schadcode in den Speicher schleusen sowie mit den Rechten des Anwenders ausführen.
Ähnliche Fehler finden sich in den Funktionen zur Darstellung von Bildern im PICT-Format. Schließlich behebt Apple noch einen Fehler von Quicktime im Umgang mit Java-Applets, durch den sich ein System schon beim Besuch einer manipulierten Webseite kompromittieren lassen soll. Schon im April musste Apple ein Quicktime-Lücke schließen, die in Zusammenhang mit Java auftrat. Das Update steht für Mac OS X v10.3.9, Mac OS X v10.4.9, Mac OS X v10.5, Windows Vista und Windows XP SP2 zur Verfügung.
Siehe dazu auch:
(dab)
English version: Apple closes seven critical vulnerabilities in QuickTime
Themen-Forum Schwachstellen
Version zum Drucken | Per E-Mail versenden | Newsletter abonnieren
Permalink: http://heise.de/-192439
