Quicktime 7.6.8

Apple schließt Sicherheitslücken in Quicktime

Donnerstag den 16.09.2010 um 14:01 Uhr

von Frank Ziemann

Quicktime-Lücken beseitigt
Vergrößern Quicktime-Lücken beseitigt
© 2014
Apple hat die neue Version 7.6.8 seiner Gratis-Software Quicktime Player bereit gestellt. Darin hat der Hersteller zwei Sicherheitslücken beseitigt. Für eine der Lücken ist bereits Exploit-Code veröffentlicht worden.
Der kostenlose Quicktime Player von Apple fällt immer wieder durch Sicherheitslücken auf, zuletzt Mitte August . Die neue Version Quicktime 7.6.8 für Windows behebt zwei kritische Schwachstellen, die das Einschleusen von Code ermöglichen. Ein Update für iTunes, das noch die anfällige Quicktime-Version 7.6.7 enthält, gibt es jedoch noch nicht.

Eine der nun beseitigten Lücken betrifft das ActiveX-Modul für den Internet Explorer. Der Sicherheitsforscher Ruben Santamarta hat Ende August einen Demo-Exploit für die Schwachstelle veröffentlicht. Er liefert auch Tricks mit, die der Umgehung von Windows-eigenen Schutzmaßnahmen DEP (Data Execution Prevention) und ASLR (Address Space Layout Randomization) dienen. Das zu HP gehörende Sicherheitsunternehmen Tipping-Point gab daraufhin bekannt, dass es Apple bereits Ende Juni über diese Sicherheitslücke informiert hatte.

Die zweite Schwachstelle ist eine Anfälligkeit für das Nachladen von DLLs, die berüchtigte " DLL-Lücke ", im Bildbetrachter von Quicktime. Wird etwa ein Foto mit dem Quicktime-Bildbetrachter geöffnet, lädt dieser eine benötigte DLL (Programmmbibliothek) aus demselben Verzeichnis. Apple hat nun das aktuelle Arbeitsverzeichnis aus dem DLL-Suchpfad entfernt. Die DLL-Lücke im Video Player von Quicktime hatte Apple bereits früher beseitigt.

Da beide Lücken nur Windows betreffen, hat Apple auch nur die Windows-Version des Quicktime Player aktualisiert. Der Download ist etwa 33 MB groß.

Donnerstag den 16.09.2010 um 14:01 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (0)
575202