[Warning] Warnung: Kritische Schwachstelle in Apple QuickTime für Windows und Mac OS X

L. Aaron Kaplan kaplan at cert.at
Thu Sep 10 17:02:27 CEST 2009 

    Kritische Sicherheitslücke in Apple[1] QuickTime Versionen vor 7.6.4

    Angesichts der hohen Verbreitung der Multimediasoftware Apple  
QuickTime
    (Komponente von Mac OS und Systemerweiterung für Microsoft Windows)
    bittet CERT.at um Beachtung der folgenden Hinweise:

Beschreibung

    Versionen von Apple QuickTime vor der Version 7.6.4 enthalten  
Fehler,
    die beim Abspielen von entsprechend präparierten Multimediadateien  
zum
    Einschleusen und Ausführen von Code ausgenützt werden können. Diese
    können in Webseiten enthalten sein oder über Email,  
Tauschbörsen, ...
    verbreitet werden. Apple listet in dem kumulativen Patch[2] vom 9.  
Sept
    2009 vier remote code execution Möglichkeiten auf, die auf H.264  
oder
    FlashPix in Quicktime anwendbar sind.

Auswirkungen

    Da der Angreifer dadurch beliebigen Code auf betroffenen Systemen
    ausführen kann, sind alle Daten auf diesen Systemen, sowie  
potentiell
    alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und
    anderen Systeme gefährdet.

Betroffene Systeme

    Laut Apple sind sowohl die Versionen für Microsoft Windows (die z.B.
    mit iTunes oder als Browserplugin installiert wird) als auch für  
Mac OS
    betroffen.



Abhilfe

    Nutzen Sie das Apple Software Update Programm. CERT.at empfiehlt,  
dort
    automatische Updates zu aktivieren (Bearbeiten->Einstellungen).

    Alternativ können Sie die Auto-Update Funktion des QuickTime Players
    nutzen: (Hilfe->"Vorhandene Software aktualisieren") oder  
installieren
    Sie das Update direkt von Apple:
      * Für Microsoft Windows[3]
      * Für OS X / Leopard[4]
      __________________________________________________________________



References

    1. http://www.apple.com/
    2. http://support.apple.com/kb/HT3859
    3. http://support.apple.com/downloads/QuickTime_7_6_4_for_Windows
    4. http://support.apple.com/downloads/QuickTime_7_6_4_for_Mac
    5. http://support.apple.com/kb/HT3859
    6. http://www.heise.de/security/Vier-kritische-Luecken-in-QuickTime-geschlossen--/news/meldung/145148
    7. http://www.apple.com/at/quicktime/
    8. http://de.wikipedia.org/wiki/QuickTime

--
L. Aaron Kaplan
nic.at   //   cert.at - österreichisches nationales CERT
kaplan at cert.at
+43 1 505 6416 / 714





-------------- next part --------------
A non-text attachment was scrubbed...
Name: PGP.sig
Type: application/pgp-signature
Size: 194 bytes
Desc: This is a digitally signed message part
URL: <http://lists.cert.at/pipermail/warning/attachments/20090910/34d7f2c0/attachment.sig>

More information about the Warning mailing list