Quicktime 7.6.8
Apple schließt Sicherheitslücken in Quicktime
Apple hat die neue Version 7.6.8 seiner Gratis-Software Quicktime Player bereit gestellt. Darin hat der Hersteller zwei Sicherheitslücken beseitigt. Für eine der Lücken ist bereits Exploit-Code veröffentlicht worden.
Der kostenlose Quicktime Player von Apple fällt immer wieder durch Sicherheitslücken auf, zuletzt Mitte August. Die neue Version Quicktime 7.6.8 für Windows behebt zwei kritische Schwachstellen, die das Einschleusen von Code ermöglichen. Ein Update für iTunes, das noch die anfällige Quicktime-Version 7.6.7 enthält, gibt es jedoch noch nicht.
Eine der nun beseitigten Lücken betrifft das ActiveX-Modul für den Internet Explorer. Der Sicherheitsforscher Ruben Santamarta hat Ende August einen Demo-Exploit für die Schwachstelle veröffentlicht. Er liefert auch Tricks mit, die der Umgehung von Windows-eigenen Schutzmaßnahmen DEP (Data Execution Prevention) und ASLR (Address Space Layout Randomization) dienen. Das zu HP gehörende Sicherheitsunternehmen Tipping-Point gab daraufhin bekannt, dass es Apple bereits Ende Juni über diese Sicherheitslücke informiert hatte.
Die zweite Schwachstelle ist eine Anfälligkeit für das Nachladen von DLLs, die berüchtigte "DLL-Lücke", im Bildbetrachter von Quicktime. Wird etwa ein Foto mit dem Quicktime-Bildbetrachter geöffnet, lädt dieser eine benötigte DLL (Programmmbibliothek) aus demselben Verzeichnis. Apple hat nun das aktuelle Arbeitsverzeichnis aus dem DLL-Suchpfad entfernt. Die DLL-Lücke im Video Player von Quicktime hatte Apple bereits früher beseitigt.
Da beide Lücken nur Windows betreffen, hat Apple auch nur die Windows-Version des Quicktime Player aktualisiert. Der Download ist etwa 33 MB groß.
