[Warning] Warnung: Kritische Schwachstelle in Apple QuickTime für Windows und Mac OS X
L. Aaron Kaplan
kaplan at cert.at
Thu Sep 10 17:02:27 CEST 2009
Kritische Sicherheitslücke in Apple[1] QuickTime Versionen vor 7.6.4
Angesichts der hohen Verbreitung der Multimediasoftware Apple
QuickTime
(Komponente von Mac OS und Systemerweiterung für Microsoft Windows)
bittet CERT.at um Beachtung der folgenden Hinweise:
Beschreibung
Versionen von Apple QuickTime vor der Version 7.6.4 enthalten
Fehler,
die beim Abspielen von entsprechend präparierten Multimediadateien
zum
Einschleusen und Ausführen von Code ausgenützt werden können. Diese
können in Webseiten enthalten sein oder über Email,
Tauschbörsen, ...
verbreitet werden. Apple listet in dem kumulativen Patch[2] vom 9.
Sept
2009 vier remote code execution Möglichkeiten auf, die auf H.264
oder
FlashPix in Quicktime anwendbar sind.
Auswirkungen
Da der Angreifer dadurch beliebigen Code auf betroffenen Systemen
ausführen kann, sind alle Daten auf diesen Systemen, sowie
potentiell
alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und
anderen Systeme gefährdet.
Betroffene Systeme
Laut Apple sind sowohl die Versionen für Microsoft Windows (die z.B.
mit iTunes oder als Browserplugin installiert wird) als auch für
Mac OS
betroffen.
Abhilfe
Nutzen Sie das Apple Software Update Programm. CERT.at empfiehlt,
dort
automatische Updates zu aktivieren (Bearbeiten->Einstellungen).
Alternativ können Sie die Auto-Update Funktion des QuickTime Players
nutzen: (Hilfe->"Vorhandene Software aktualisieren") oder
installieren
Sie das Update direkt von Apple:
* Für Microsoft Windows[3]
* Für OS X / Leopard[4]
__________________________________________________________________
References
1. http://www.apple.com/
2. http://support.apple.com/kb/HT3859
3. http://support.apple.com/downloads/QuickTime_7_6_4_for_Windows
4. http://support.apple.com/downloads/QuickTime_7_6_4_for_Mac
5. http://support.apple.com/kb/HT3859
6. http://www.heise.de/security/Vier-kritische-Luecken-in-QuickTime-geschlossen--/news/meldung/145148
7. http://www.apple.com/at/quicktime/
8. http://de.wikipedia.org/wiki/QuickTime
--
L. Aaron Kaplan
nic.at // cert.at - österreichisches nationales CERT
kaplan at cert.at
+43 1 505 6416 / 714
-------------- next part --------------
A non-text attachment was scrubbed...
Name: PGP.sig
Type: application/pgp-signature
Size: 194 bytes
Desc: This is a digitally signed message part
URL: <http://lists.cert.at/pipermail/warning/attachments/20090910/34d7f2c0/attachment.sig>
More information about the Warning
mailing list