Deutsch | English

"Zero-Day" Sicherheitslücke in Apple Quicktime

24. Juli 2014

Beschreibung

Die "Zero-Day-Initiative" der Firma Tipping Point hat ein Advisory veröffentlicht, in dem vor einer "Zero Day"-Lücke (CVE-2014-4979) in Apple Quicktime gewarnt wird:
http://www.zerodayinitiative.com/advisories/ZDI-14-264/

CVSS (Common Vulnerability Scoring System) Score: 6.8, (AV:N/AC:M/Au:N/C:P/I:P/A:P)

Aktuell ist nicht bekannt, dass diese Schwachstelle in realen Angriffen verwendet wird. Es ist aber anzunehmen, dass sich nach der Veröffentlichung nun diverse Akteure darauf konzentrieren werden.

Auswirkungen

Um die Lücke auszunutzen, muss vom Benutzer eine entsprechend präparierte Webseite oder Datei geöffnet werden. Links auf diese können unter anderem per Spam-Mail verbreitet werden - es ist auch denkbar, dass Seiten, die es Usern erlauben, eigenen Content zu erstellen (etwa Blogs), mit entsprechenden Beiträgen präpariert werden.

Da ein Angreifer nach einem erfolgreichen Angriff prinzipiell beliebigen Code mit den Rechten des angemeldeten Benutzers auf den betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Von Seiten des Herstellers gibt es noch keine genaue Angabe zu betroffenen Versionen, es ist daher vorerst davon auszugehen dass alle aktuellen Versionen sowohl unter Microsoft Windows als auch unter Mac OS X anfällig für diese Lücke sind.

Abhilfe

Derzeit gibt es von Seiten des Herstellers kein Update, sobald dieses verfügbar ist sollte es durch die "automatische Update"-Funktion installiert werden.
Bis dahin wird empfohlen die Verwendung von Quicktime auf bekannte und vertrauenswürdige Dateien zu beschränken oder, wo möglich, Quicktime für den Moment zu deinstallieren.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Zero Day Initiative Advisory (englisch)
http://www.zerodayinitiative.com/advisories/ZDI-14-264/
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Sicherheitslücken (teils kritisch) in Juniper ATP, Junos OS und Space OS Software - Patches verfügbar
11. Jänner 2019 | Beschreibung Der ...
Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar
4. Jänner 2019 | Beschreibung Adobe ...
mehr ...
Datenleak - mal ganz ohne Hype
11. Jänner 2019 | Man ...
DNS-Blacklists und Neujahrsvorsätze
2. Jänner 2019 | Die ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2014/7/24 - 15:01:46
Haftungsausschluss / Datenschutzerklärung