Menü
Alert!

QuickTime reißt Sicherheitsleck in Firefox auf

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 213 Beiträge
Von

Der Sicherheitsspezialist Petko Petkov (pdp) weist in einem Blog-Eintrag auf eine Schwachstelle hin, durch die Angreifer mit präparierten QuickTime-Mediendateien beliebigen JavaScript-Code mit den höchsten Rechten in Firefox ausführen oder Programme auf dem Rechner starten können. Dazu muss Firefox als Standard-Browser auf dem Rechner eingerichtet und Apples QuickTime beziehungsweise Berichten zufolge auch QuickTime Alternative installiert sein – keine ungewöhnliche Konfiguration.

Das Problem tritt auf, wenn das QuickTime-Plug-in in Firefox sogenannte QuickTime-Link-Dateien (.qtl) verarbeitet. Diese XML-Dateien enthalten in der Regel einen Link auf die eigentliche Mediendatei und gegebenenfalls noch weitere Steuerungsanweisungen, die der QuickTime-Player befolgt. QuickTime interpretiert diese Anweisungen auch dann, wenn die Datei eine andere, ebenfalls mit dem QuickTime-Plug-in verknüpfte Endung wie .mov oder .mp3 besitzt.

QuickTime-Link-Dateien können auch mit geänderter Dateiendung beliebiges JavaScript ausführen.

Durch den Parameter qtnext in .qtl-Dateien kann beliebiger JavaScript-Code im Browser ausgeführt werden. Gibt ein Angreifer dort noch den Schalter -chrome an, läuft das JavaScript im Kontext von chrome – und damit mit Zugriffsrechten auf lokale Ressourcen. Petkov zufolge können Angreifer so etwa beliebige Browser-Komponenten wie Hintertüren installieren; arbeitet der Anwender mit Administratorrechten, seien auch beliebige Zugriffe auf Betriebssystemebene denkbar. heise Security konnte das Problem mit Firefox 2.0.0.6 und QuickTime 7.2.0.240 unter Windows XP mit Service Pack 2 nachvollziehen.

Wie sich Anwender schützen können, erläutert Petkov jedoch nicht. Anwender berichten, dass die NoScript-Erweiterung die Beispiel-Exploits blockiert, die Petkov zur Demonstration der Sicherheitslücke in seinem Blog bereitstellt. Im Test von heise Security funktionierten die Beispiel-Exploits bei installierter NoScript-Erweiterung tatsächlich nicht. Die Deinstallation von QuickTime stellt ebenfalls eine Alternative dar. Betroffene Anwender sollten daher entweder die NoScript-Erweiterung installieren, einen anderen Standard-Browser wie Opera einrichten oder QuickTime deinstallieren, bis Apple eine aktualisierte Software-Version herausgibt.

Siehe dazu auch:

(dmk)