[Warning] Kritische Sicherheitslücken in Apple Quicktime für Windows - keine Patches verfügbar

Robert Waldner waldner at cert.at
Fri Apr 15 08:42:39 CEST 2016 

15. April 2016

Beschreibung

   Laut der Zero-Day-Initiative (ZDI) gibt es zwei kritische
   Schwachstellen in Apple Quicktime für Windows.

   CVSS2 Base Score für beide (laut ZDI): 6.8

   Da das Produkt Quicktime von Apple nicht mehr unterstützt und auch
   nicht mehr mit Updates versorgt wird, werden diese Lücken auch nicht
   behoben werden.

Auswirkungen

   Zum Ausnützen dieser Lücken reicht es, einen Benutzer auf eine
   entsprechend präparierte Webseite zu locken. Es ist zu erwarten, dass
   entsprechende Links bald (etwa per Spam-Mail) verteilt werden.

   Da der Angreifer dann potentiell beliebigen Code auf betroffenen
   Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie
   alle durch diese erreichbaren (etwa durch Login, VPN, Fileshare etc.)
   Daten und Systeme gefährdet.

Betroffene Systeme

   Microsoft Windows Systeme mit installiertem Apple Quicktime (alle
   Versionen).

   Soweit wir wissen, wurde Quicktime mit diversen Versionen von Apple
   iTunes automatisch mitinstalliert - Benutzer, die Apple iTunes unter
   Windows installiert haben (oder hatten) sollten also nachprüfen, ob
   nicht auch Quicktime mitinstalliert wurde. Ab iTunes 10.5 ist
   Quicktime nicht mehr für die Funktionalität von iTunes notwendig.

Abhilfe

   Da das Produkt seitens des Herstellers nicht mehr unterstützt wird,
   lautet die Empfehlung klar, dieses zu deinstallieren. Apple hat
   hierzu einen eigenen Support-Artikel veröffentlicht:
   https://support.apple.com/de-de/HT205771

Hinweise

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
   Die "Click-to-Play"-Funktionen aktueller Internet Browser sollten
   möglichst für alle Arten von Browser-Plugins verwendet werden.
     __________________________________________________________________

   Informationsquelle(n):
   Erste Meldung der Zero-Day-Initiative (englisch)
   http://zerodayinitiative.com/advisories/ZDI-16-241/
   Zweite Meldung der Zero-Day-Initiative (englisch)
   http://zerodayinitiative.com/advisories/ZDI-16-242/
   Artikel bei The Register (englisch)
   http://www.theregister.co.uk/2016/04/14/uninstall_quicktime_for_windows/


-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20160415/f79be3bf/attachment.sig>

More information about the Warning mailing list