16.09.2010, 14:01

Frank Ziemann

Quicktime 7.6.8

Apple schließt Sicherheitslücken in Quicktime

Apple hat die neue Version 7.6.8 seiner Gratis-Software Quicktime Player bereit gestellt. Darin hat der Hersteller zwei Sicherheitslücken beseitigt. Für eine der Lücken ist bereits Exploit-Code veröffentlicht worden.
Der kostenlose Quicktime Player von Apple fällt immer wieder durch Sicherheitslücken auf, zuletzt Mitte August. Die neue Version Quicktime 7.6.8 für Windows behebt zwei kritische Schwachstellen, die das Einschleusen von Code ermöglichen. Ein Update für iTunes, das noch die anfällige Quicktime-Version 7.6.7 enthält, gibt es jedoch noch nicht.
Eine der nun beseitigten Lücken betrifft das ActiveX-Modul für den Internet Explorer. Der Sicherheitsforscher Ruben Santamarta hat Ende August einen Demo-Exploit für die Schwachstelle veröffentlicht. Er liefert auch Tricks mit, die der Umgehung von Windows-eigenen Schutzmaßnahmen DEP (Data Execution Prevention) und ASLR (Address Space Layout Randomization) dienen. Das zu HP gehörende Sicherheitsunternehmen Tipping-Point gab daraufhin bekannt, dass es Apple bereits Ende Juni über diese Sicherheitslücke informiert hatte.
Die zweite Schwachstelle ist eine Anfälligkeit für das Nachladen von DLLs, die berüchtigte "DLL-Lücke", im Bildbetrachter von Quicktime. Wird etwa ein Foto mit dem Quicktime-Bildbetrachter geöffnet, lädt dieser eine benötigte DLL (Programmmbibliothek) aus demselben Verzeichnis. Apple hat nun das aktuelle Arbeitsverzeichnis aus dem DLL-Suchpfad entfernt. Die DLL-Lücke im Video Player von Quicktime hatte Apple bereits früher beseitigt.
Da beide Lücken nur Windows betreffen, hat Apple auch nur die Windows-Version des Quicktime Player aktualisiert. Der Download ist etwa 33 MB groß.
Diskutieren Sie mit anderen Lesern über dieses Thema:
PC-WELT Hacks
PC-WELT Hacks Logo
Technik zum Selbermachen

3D-Drucker selbst bauen, nützliche Life-Hacks für den PC-Alltag und exotische Projekte rund um den Raspberry Pi. mehr

575202
Content Management by InterRed