02.01.2007 14:12
Im Jahresrückblick 2007 propehezeite heise Security, dass dieses Jahr "Lücken in Mediaplayer-Plug-ins und -Software" eine zentrale Rolle spielen werden. Passend dazu eröffnet der Hacker mit dem Pseudonym LMH den Month of Apple Bugs mit einem Fehler in Quicktime inklusive Zero-Day-Exploit. Spezielle rtsp://-URLs, wie sie für Quicktime-Videos zum Einsatz kommen, können einen Pufferüberlauf auf dem Stack auslösen. Dies erlaubt es dem Angreifer, beliebigen Code auszuführen. Solche URLs lassen sich so in Web-Seiten einbetten, dass sie automatisch bei deren Besuch geöffnet werden, oder beispielsweise auch als Mails versenden.
Betroffen sind laut LMH sowohl die Mac- als auch die Windows-Version von QuickTime 7.1.3, ältere Versionen wahrscheinlich ebenfalls. Das bereitgestellte Ruby-Skript erzeugt eine Quicktime-Datei, die den Fehler ausnutzt, um auf Intel-Macs einen Neujahrsgruß über die Sprachausgabe des Apple-Sytems zu veranlassen. Bei einem Test von heise Security stürzte der Quicktime-Player lediglich ab, was aber nur auf ein Problem der hartkodierten Adressen für den Aufruf von Systemfunktionen zurückzuführen ist, die auf diesem Testsystem offenbar nicht stimmten. In einer modifizierten Version des Exploits gelang es jedenfalls, die CPU an eine vordefinierte Adresse springen zu lassen, also den Instruction Pointer gezielt zu manipulieren. Das spricht dafür, dass der Exploit auch auf dem Testsystem mit geringfügigen Anpassungen lauffähig wäre.
Es steht zu befürchten, dass bald erste Web-Seiten die Lücke ausnutzen, um Schadcode zu verbreiten. Bis eine aktualisierte Quicktime-Version zur Verfügung steht, kann man sich nur schützen, indem man die eingetragenen Programme und Plug-ins für Quicktime-Formate deaktiviert. Dies kann man unter Mac OS X im Bereich "QuickTime" der Systemeinstellungen über den Button "MIME-Einstellungen" erledigen. Dort lässt sich das RTSP-Protokoll unter dem Eintrag "Streaming - Streaming-Filme" deaktivieren. Unter Windows finden Sie den Button für die MIME-Einstellungen im Reiter "Browser" des QuickTime-Elements in der Systemsteuerung.
Siehe dazu auch:
(ju)
English version: Month of Apple Bugs begins with critical Quicktime hole
Themen-Forum Desktopsicherheit
Version zum Drucken | Per E-Mail versenden | Newsletter abonnieren
Permalink: http://heise.de/-130225
