Kritische Quicktime-Lücke entdeckt

Lange Zeit war es eher ruhig um Apples Quicktime Player, der in der Vergangenheit oft durch Sicherheitslücken von sich reden machte. Jetzt hat ein polnischer Forscher eine Schwachstelle in der aktuellen Version 7.6.6 für Windows entdeckt, die auch Teil von iTunes ist. Sie kann mit präparierten SMIL-Dateien ausgenutzt werden, um Code einzuschleusen.

Der polnische Sicherheitsforscher Krystian Kloskowski hat im Quicktime Player 7.6.6 eine Lücke ausgemacht, die es einem Angreifer ermöglichen kann, Code einzuschleusen und auszuführen. In Erfolgsfall kann er so die Kontrolle über das kompromittierte System erlangen. Der dänische Sicherheitsdienstleister Secunia stuft die Schwachstelle als "Highly critical" ein, die zweithöchste Risikostufe.

Der Fehler steckt in dem Programmmodul QuickTimeStreaming.qtx. Ein Angreifer die Lücke ausnutzen, in dem er potenzielle Opfer auf eine vorbereitete Web-Seite lockt, die eine präpariert SMIL-Datei (Synchronized Multimedia Integration Language) lädt. Die SMIL-Datei würde eine sehr URL (Web-Adresse) enthalten, was bei der Verarbeitung durch Quicktime zu einem Pufferüberlauf führen würde.

Unklar ist derzeit noch, welche weiteren Quicktime-Versionen ebenfalls anfällig sind. Eine Stellungnahme von Apple steht noch aus, ein Sicherheits-Update gibt es auch noch nicht. Der zurzeit einzig wirksame Schutz vor (bislang noch nicht gemeldeten) Angriffen auf diese Lücke ist die Deinstallation von Quicktime oder zumindest des Plug-in für den Web-Browser..

Krystian Kloskowski hat schon mehrfach Schwachstellen in Produkten von Apple und anderen entdeckt, zuletzt eine Safari-Lücke im Mai.