[Warning] Kritische Sicherheitslücken in Apple Quicktime für Windows - keine Patches verfügbar
Robert Waldner
waldner at cert.at
Fri Apr 15 08:42:39 CEST 2016
15. April 2016
Beschreibung
Laut der Zero-Day-Initiative (ZDI) gibt es zwei kritische
Schwachstellen in Apple Quicktime für Windows.
CVSS2 Base Score für beide (laut ZDI): 6.8
Da das Produkt Quicktime von Apple nicht mehr unterstützt und auch
nicht mehr mit Updates versorgt wird, werden diese Lücken auch nicht
behoben werden.
Auswirkungen
Zum Ausnützen dieser Lücken reicht es, einen Benutzer auf eine
entsprechend präparierte Webseite zu locken. Es ist zu erwarten, dass
entsprechende Links bald (etwa per Spam-Mail) verteilt werden.
Da der Angreifer dann potentiell beliebigen Code auf betroffenen
Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie
alle durch diese erreichbaren (etwa durch Login, VPN, Fileshare etc.)
Daten und Systeme gefährdet.
Betroffene Systeme
Microsoft Windows Systeme mit installiertem Apple Quicktime (alle
Versionen).
Soweit wir wissen, wurde Quicktime mit diversen Versionen von Apple
iTunes automatisch mitinstalliert - Benutzer, die Apple iTunes unter
Windows installiert haben (oder hatten) sollten also nachprüfen, ob
nicht auch Quicktime mitinstalliert wurde. Ab iTunes 10.5 ist
Quicktime nicht mehr für die Funktionalität von iTunes notwendig.
Abhilfe
Da das Produkt seitens des Herstellers nicht mehr unterstützt wird,
lautet die Empfehlung klar, dieses zu deinstallieren. Apple hat
hierzu einen eigenen Support-Artikel veröffentlicht:
https://support.apple.com/de-de/HT205771
Hinweise
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
Die "Click-to-Play"-Funktionen aktueller Internet Browser sollten
möglichst für alle Arten von Browser-Plugins verwendet werden.
__________________________________________________________________
Informationsquelle(n):
Erste Meldung der Zero-Day-Initiative (englisch)
http://zerodayinitiative.com/advisories/ZDI-16-241/
Zweite Meldung der Zero-Day-Initiative (englisch)
http://zerodayinitiative.com/advisories/ZDI-16-242/
Artikel bei The Register (englisch)
http://www.theregister.co.uk/2016/04/14/uninstall_quicktime_for_windows/
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20160415/f79be3bf/attachment.sig>
More information about the Warning
mailing list