Month of Apple Bugs
Month of Apple Bugs
Start mit kritischer Quicktime-Lücke
Gleich zum Anfang der angekündigten Berichterstattung über Sicherheitslücken in MacOS von Apple veröffentlichte der Programmierer LMH eine äußerst kritische Lücke im Mediaplayer Quicktime. Durch einen Klick auf einen Stream können Hacker jeden beliebigen Code auf dem Zielrechner ausführen.
Spezielle rtsp://-URLs kommen zum Einsatz, wenn direkt aus der Webseite heraus ein Film auf dem Quicktime-Player abgespielt werden soll. Durch einen Exploit in der Software kommt es bei spezieller Veränderung zum Pufferüberlauf und während dieser Phase ist es möglich, Code auf dem Zielrecher auszuführen. Solche rtsp://-URLs müssen nicht unbedingt angeklickt werden, auch können sie automatisch beim Besuch der Seite geladen werden. Die Lücke betrifft Quicktime 7 auf der Plattform MacOS, inwiefern auch andere Systeme und Softwareversionen betroffen sind, steht noch nicht fest. Momentan gibt es keinen Patch für die Lücke, da sie direkt auf der Webseite des Programmierers veröffentlicht wurde. Nur der komplette Verzicht auf Quicktime ist wirksam.
In kurzer Zeit werden wohl die ersten Betrüger auf die Lücke aufspringen und Schadcode im Internet verbreiten. Der Finder der Lücke LMH will mit dieser Aktion nicht alle Benutzer mit Quicktime gefährden, sondern zeigen, dass neben Microsoft auch Apple große Lücken in der Sofware hat. Bis Anfang Februar will der Programmierer LMH jeden Tag eine neue Lücke publizieren, Aufregung in Cupertino ist sicher.
Quelle: http://www.gulli.com/news/month-of-appl ... 007-01-02/
Month of Apple Bugs: http://projects.info-pull.com/moab/index.html
Mal schauen was der noch so alles zum Vorschein bringt
Gleich zum Anfang der angekündigten Berichterstattung über Sicherheitslücken in MacOS von Apple veröffentlichte der Programmierer LMH eine äußerst kritische Lücke im Mediaplayer Quicktime. Durch einen Klick auf einen Stream können Hacker jeden beliebigen Code auf dem Zielrechner ausführen.
Spezielle rtsp://-URLs kommen zum Einsatz, wenn direkt aus der Webseite heraus ein Film auf dem Quicktime-Player abgespielt werden soll. Durch einen Exploit in der Software kommt es bei spezieller Veränderung zum Pufferüberlauf und während dieser Phase ist es möglich, Code auf dem Zielrecher auszuführen. Solche rtsp://-URLs müssen nicht unbedingt angeklickt werden, auch können sie automatisch beim Besuch der Seite geladen werden. Die Lücke betrifft Quicktime 7 auf der Plattform MacOS, inwiefern auch andere Systeme und Softwareversionen betroffen sind, steht noch nicht fest. Momentan gibt es keinen Patch für die Lücke, da sie direkt auf der Webseite des Programmierers veröffentlicht wurde. Nur der komplette Verzicht auf Quicktime ist wirksam.
In kurzer Zeit werden wohl die ersten Betrüger auf die Lücke aufspringen und Schadcode im Internet verbreiten. Der Finder der Lücke LMH will mit dieser Aktion nicht alle Benutzer mit Quicktime gefährden, sondern zeigen, dass neben Microsoft auch Apple große Lücken in der Sofware hat. Bis Anfang Februar will der Programmierer LMH jeden Tag eine neue Lücke publizieren, Aufregung in Cupertino ist sicher.
Quelle: http://www.gulli.com/news/month-of-appl ... 007-01-02/
Month of Apple Bugs: http://projects.info-pull.com/moab/index.html
Mal schauen was der noch so alles zum Vorschein bringt
-
Tante Google
blub
Das erste Sicherheitsproblem, das beide veröffentlichen, ist eine nach Expertenmeinung mindergefährliche Schwachstelle in Apples Mediensoftware QuickTime 7, die sowohl Macs als auch Windows-PCs betrifft.
Nach der Beschreibung der beiden Initiatoren kann eine speziell hergerichtete Internetadresse in einer HTML-Seite, einem Java-Script oder einer QTL-Film-Datei dafür genutzt werden, fremden Code auf dem betroffenen Rechner auszuführen. Die Lücke selbst sitzt in QuickTimes RTSP-Handling für das Real Time Streaming Protokoll. Belegt sei das Sicherheitsleck in den Mac- und Windows-Versionen von QuickTime 7.1.3, sollen aber auch frühere Versionen betreffen, so die beiden Hacker.
Das erste Sicherheitsproblem, das beide veröffentlichen, ist eine nach Expertenmeinung mindergefährliche Schwachstelle in Apples Mediensoftware QuickTime 7, die sowohl Macs als auch Windows-PCs betrifft.
Nach der Beschreibung der beiden Initiatoren kann eine speziell hergerichtete Internetadresse in einer HTML-Seite, einem Java-Script oder einer QTL-Film-Datei dafür genutzt werden, fremden Code auf dem betroffenen Rechner auszuführen. Die Lücke selbst sitzt in QuickTimes RTSP-Handling für das Real Time Streaming Protokoll. Belegt sei das Sicherheitsleck in den Mac- und Windows-Versionen von QuickTime 7.1.3, sollen aber auch frühere Versionen betreffen, so die beiden Hacker.