Deutsch | English

Kritische Sicherheitslücken in Apple Quicktime für Windows - keine Patches verfügbar

15. April 2016

Beschreibung

Laut der Zero-Day-Initiative (ZDI) gibt es zwei kritische Schwachstellen in Apple Quicktime für Windows.

CVSS2 Base Score für beide (laut ZDI): 6.8

Da das Produkt Quicktime von Apple nicht mehr unterstützt und auch nicht mehr mit Updates versorgt wird, werden diese Lücken auch nicht behoben werden.

Auswirkungen

Zum Ausnützen dieser Lücken reicht es, einen Benutzer auf eine entsprechend präparierte Webseite zu locken. Es ist zu erwarten, dass entsprechende Links bald (etwa per Spam-Mail) verteilt werden.

Da der Angreifer dann potentiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN, Fileshare etc.) Daten und Systeme gefährdet.

Betroffene Systeme

Microsoft Windows Systeme mit installiertem Apple Quicktime (alle Versionen).

Soweit wir wissen, wurde Quicktime mit diversen Versionen von Apple iTunes automatisch mitinstalliert - Benutzer, die Apple iTunes unter Windows installiert haben (oder hatten) sollten also nachprüfen, ob nicht auch Quicktime mitinstalliert wurde. Ab iTunes 10.5 ist Quicktime nicht mehr für die Funktionalität von iTunes notwendig.

Abhilfe

Da das Produkt seitens des Herstellers nicht mehr unterstützt wird, lautet die Empfehlung klar, dieses zu deinstallieren. Apple hat hierzu einen eigenen Support-Artikel veröffentlicht: https://support.apple.com/de-de/HT205771.

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Die "Click-to-Play"-Funktionen aktueller Internet Browser sollten möglichst für alle Arten von Browser-Plugins verwendet werden.
Informationsquelle(n):

Erste Meldung der Zero-Day-Initiative (englisch)
http://zerodayinitiative.com/advisories/ZDI-16-241/
Zweite Meldung der Zero-Day-Initiative (englisch)
http://zerodayinitiative.com/advisories/ZDI-16-242/
Artikel bei The Register (englisch)
http://www.theregister.co.uk/2016/04/14/uninstall_quicktime_for_windows/
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Schwerwiegende Sicherheitsprobleme in Systemen mit aktuellen Intel-Prozessoren
21. November 2017 Beschreibung Wie ...
Kritische Sicherheitslücke in Adobe Flash Player - aktiv ausgenützt - Patches verfügbar
16. Oktober 2017 | Beschreibung Adobe ...
mehr ...
Es steht KRACK auf dem Speiseplan!
16. Oktober 2017 | Auch ...
Ein paar Thesen zu aktuellen Gesetzesentwürfen
31. Juli 2017 | Das Thema ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2016/4/15 - 08:41:20
Haftungsausschluss