[Warning] Kritische Schwachstelle in Apple QuickTime für Windows und Mac OS X

Otmar Lendl lendl at cert.at
Thu Jan 22 16:15:20 CET 2009 

Kritische Schwachstelle in Apple QuickTime für Windows und Mac OS X

   22. Jänner 2009

   Kritische Sicherheitslücke in Apple QuickTime vor Version 7.6.

   Angesichts der hohen Verbreitung der Multimediasoftware Apple QuickTime
   (Komponente von Mac OS und Systemerweiterung für Microsoft Windows)
   bittet CERT.at um Beachtung der folgenden Hinweise:

Beschreibung

   Versionen von Apple QuickTime älter als 7.6 enthalten Fehler, die beim
   Abspielen von entsprechend präparierten Multimediadateien zum
   Einschleusen und Ausführen von Code ausgenützt werden können. Diese
   können in Webseiten enthalten sein oder über Email, Tauschbörsen, ...
   verbreitet werden.

Auswirkungen

   Da der Angreifer dadurch beliebigen Code auf betroffenen Systemen
   ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell
   alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und
   anderen Systeme gefährdet.

Betroffene Systeme

   Laut Apple sind sowohl die Versionen für Microsoft Windows (die z.B. mit
   iTunes oder als Browserplugin installiert wird) also auch für Mac OS
   betroffen.

Abhilfe

   Nutzen Sie die Auto-Update Funktion des QuickTime Players
   (Hilfe->"Vorhandene Software aktualisieren") oder installieren
   Sie das Update direkt von Apple:

     * Für Microsoft Windows:
	 http://support.apple.com/downloads/QuickTime_7_6_for_Windows
     * Für OS X / Leopard:
         http://support.apple.com/downloads/QuickTime_7_6_for_Leopard
     * Für OS X / Tiger:
         http://support.apple.com/downloads/QuickTime_7_6_for_Tiger

   Anmerkung für Windows-User: Die Autoupdate Funktion scheint noch nicht
   verlässlich das Update anzubieten. Überprüfen sie daher Ihre Version
   mit Hilfe->"Über QuickTime Player".

     __________________________________________________________________

Informationsquellen:

   * Meldung von Apple (auf Englisch)
       http://support.apple.com/kb/HT3403
   * Meldung bei Heise Security

http://www.heise.de/security/Update-fuer-QuickTime-schliesst-zahlreiche-Luecken--/news/meldung/122139

   * Information zu Apple QuickTime auf Apple.com
       http://www.apple.com/at/quicktime/
   * Information zu Apple QuickTime auf Wikipedia
       http://de.wikipedia.org/wiki/QuickTime
     __________________________________________________________________

-- 
// Otmar Lendl <lendl at cert.at>, +43 1 5056416 - 711
//       CERT.at    --      http://www.cert.at/

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 250 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20090122/0b417c27/attachment.sig>

More information about the Warning mailing list