Month of Apple Bugs Start mit kritischer Quicktime-Lücke

Gleich zum Anfang der angekündigten Berichterstattung über Sicherheitslücken in MacOS von Apple veröffentlichte der Programmierer LMH eine äußerst kritische Lücke im Mediaplayer Quicktime. Durch einen Klick auf einen Stream können Hacker jeden beliebigen Code auf dem Zielrechner ausführen.

Spezielle rtsp://-URLs kommen zum Einsatz, wenn direkt aus der Webseite heraus ein Film auf dem Quicktime-Player abgespielt werden soll. Durch einen Exploit in der Software kommt es bei spezieller Veränderung zum Pufferüberlauf und während dieser Phase ist es möglich, Code auf dem Zielrecher auszuführen. Solche rtsp://-URLs müssen nicht unbedingt angeklickt werden, auch können sie automatisch beim Besuch der Seite geladen werden. Die Lücke betrifft Quicktime 7 auf der Plattform MacOS, inwiefern auch andere Systeme und Softwareversionen betroffen sind, steht noch nicht fest. Momentan gibt es keinen Patch für die Lücke, da sie direkt auf der Webseite des Programmierers veröffentlicht wurde. Nur der komplette Verzicht auf Quicktime ist wirksam.

In kurzer Zeit werden wohl die ersten Betrüger auf die Lücke aufspringen und Schadcode im Internet verbreiten. Der Finder der Lücke LMH will mit dieser Aktion nicht alle Benutzer mit Quicktime gefährden, sondern zeigen, dass neben Microsoft auch Apple große Lücken in der Sofware hat. Bis Anfang Februar will der Programmierer LMH jeden Tag eine neue Lücke publizieren, Aufregung in Cupertino ist sicher.

• 14 Kommentare zum Artikel

• Iss der Bug von heute schon draußen ? weil es soll ja jeden Tag einen geben

  Benni-mac am 03.01.2007 15:05

• Ja, es ist ein Bug in VLC. Übersicht / Homepage von MOAB: http://projects.info-pull.com/moab/ PS: Ein Freund von mir schrieb mir erst kürzlich, MOAB bedeute auch "Mother of all bombs".

  iMember am 03.01.2007 17:16
• [...] Diskussion lesen oder Artikel kommentieren