Deutsch | English

"Zero-Day" Sicherheitslücke in Apple Quicktime

24. Juli 2014

Beschreibung

Die "Zero-Day-Initiative" der Firma Tipping Point hat ein Advisory veröffentlicht, in dem vor einer "Zero Day"-Lücke (CVE-2014-4979) in Apple Quicktime gewarnt wird:
http://www.zerodayinitiative.com/advisories/ZDI-14-264/

CVSS (Common Vulnerability Scoring System) Score: 6.8, (AV:N/AC:M/Au:N/C:P/I:P/A:P)

Aktuell ist nicht bekannt, dass diese Schwachstelle in realen Angriffen verwendet wird. Es ist aber anzunehmen, dass sich nach der Veröffentlichung nun diverse Akteure darauf konzentrieren werden.

Auswirkungen

Um die Lücke auszunutzen, muss vom Benutzer eine entsprechend präparierte Webseite oder Datei geöffnet werden. Links auf diese können unter anderem per Spam-Mail verbreitet werden - es ist auch denkbar, dass Seiten, die es Usern erlauben, eigenen Content zu erstellen (etwa Blogs), mit entsprechenden Beiträgen präpariert werden.

Da ein Angreifer nach einem erfolgreichen Angriff prinzipiell beliebigen Code mit den Rechten des angemeldeten Benutzers auf den betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Von Seiten des Herstellers gibt es noch keine genaue Angabe zu betroffenen Versionen, es ist daher vorerst davon auszugehen dass alle aktuellen Versionen sowohl unter Microsoft Windows als auch unter Mac OS X anfällig für diese Lücke sind.

Abhilfe

Derzeit gibt es von Seiten des Herstellers kein Update, sobald dieses verfügbar ist sollte es durch die "automatische Update"-Funktion installiert werden.
Bis dahin wird empfohlen die Verwendung von Quicktime auf bekannte und vertrauenswürdige Dateien zu beschränken oder, wo möglich, Quicktime für den Moment zu deinstallieren.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Zero Day Initiative Advisory (englisch)
http://www.zerodayinitiative.com/advisories/ZDI-14-264/
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Schwerwiegende Sicherheitsprobleme in Systemen mit aktuellen Intel-Prozessoren
21. November 2017 Beschreibung Wie ...
Kritische Sicherheitslücke in Adobe Flash Player - aktiv ausgenützt - Patches verfügbar
16. Oktober 2017 | Beschreibung Adobe ...
mehr ...
Es steht KRACK auf dem Speiseplan!
16. Oktober 2017 | Auch ...
Ein paar Thesen zu aktuellen Gesetzesentwürfen
31. Juli 2017 | Das Thema ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2014/7/24 - 15:01:46
Haftungsausschluss