News-Meldung vom 30.04.2008 13:21
Petko D. Petkov (pdp) warnt im Gnucitizen-Blog vor einer Sicherheitslücke in Apples QuickTime, durch die Angreifer mit manipulierten Dateien, Webseiten oder Anhängen an E-Mails fremden Programmcode einschleusen können. Eine aktualisierte Fassung der Software von Apple, die die Lücke schließt, steht noch aus.
Details zur Lücke veröffentlicht Petkov noch nicht, er folge der Responsible-Disclosure-Politik und wolle Apple Zeit geben, die Lücke abzudichten. Er hat aber ein Video auf YouTube hochgeladen, dass zeigt, wie das Öffnen einer mit QuickTime verknüpften Datei zum Aufruf des Windows-Taschenrechners, von WordPad und Paint führt. In dem Video führt Petkov die Lücke sowohl unter Windows XP SP2 als auch unter Windows Vista mit Service Pack 1 vor.
QuickTime-Nutzer sollten Dateien aus nicht vertrauenswürdigen Quellen bis zur Verfügbarkeit eines Updates von Apple meiden. Außerdem sollten sie die Add-ons im Browser für QuickTime deaktivieren, um das automatische Ausnutzen der Lücke beim Besuch einer bösartigen Webseite zu verhindern.
Siehe dazu auch:
(dmk)
English Version: QuickTime leak allows trojans to be injected
Version zum Drucken | Per E-Mail versenden
Permalink: http://heise.de/-204273
Themen-Forum Schwachstellen
Dank der redaktionseigenen Glaskugel präsentiert heise Security schon jetzt und wie immer exklusiv den ultimativen Jahresrückblick auf das vor uns liegende Jahr 2012. 
Wer veraltete Programmversionen von Firefox, Thunderbird und SeaMonkey nutzt, kann sein System leicht mit Schadcode infizieren. 
