Deutsch | English

Kritische Sicherheitslücken in Apple Quicktime für Windows - keine Patches verfügbar

15. April 2016

Beschreibung

Laut der Zero-Day-Initiative (ZDI) gibt es zwei kritische Schwachstellen in Apple Quicktime für Windows.

CVSS2 Base Score für beide (laut ZDI): 6.8

Da das Produkt Quicktime von Apple nicht mehr unterstützt und auch nicht mehr mit Updates versorgt wird, werden diese Lücken auch nicht behoben werden.

Auswirkungen

Zum Ausnützen dieser Lücken reicht es, einen Benutzer auf eine entsprechend präparierte Webseite zu locken. Es ist zu erwarten, dass entsprechende Links bald (etwa per Spam-Mail) verteilt werden.

Da der Angreifer dann potentiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN, Fileshare etc.) Daten und Systeme gefährdet.

Betroffene Systeme

Microsoft Windows Systeme mit installiertem Apple Quicktime (alle Versionen).

Soweit wir wissen, wurde Quicktime mit diversen Versionen von Apple iTunes automatisch mitinstalliert - Benutzer, die Apple iTunes unter Windows installiert haben (oder hatten) sollten also nachprüfen, ob nicht auch Quicktime mitinstalliert wurde. Ab iTunes 10.5 ist Quicktime nicht mehr für die Funktionalität von iTunes notwendig.

Abhilfe

Da das Produkt seitens des Herstellers nicht mehr unterstützt wird, lautet die Empfehlung klar, dieses zu deinstallieren. Apple hat hierzu einen eigenen Support-Artikel veröffentlicht: https://support.apple.com/de-de/HT205771.

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Die "Click-to-Play"-Funktionen aktueller Internet Browser sollten möglichst für alle Arten von Browser-Plugins verwendet werden.
Informationsquelle(n):

Erste Meldung der Zero-Day-Initiative (englisch)
http://zerodayinitiative.com/advisories/ZDI-16-241/
Zweite Meldung der Zero-Day-Initiative (englisch)
http://zerodayinitiative.com/advisories/ZDI-16-242/
Artikel bei The Register (englisch)
http://www.theregister.co.uk/2016/04/14/uninstall_quicktime_for_windows/
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Sicherheitslücken (teils kritisch) in Juniper ATP, Junos OS und Space OS Software - Patches verfügbar
11. Jänner 2019 | Beschreibung Der ...
Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar
4. Jänner 2019 | Beschreibung Adobe ...
mehr ...
Datenleak - mal ganz ohne Hype
11. Jänner 2019 | Man ...
DNS-Blacklists und Neujahrsvorsätze
2. Jänner 2019 | Die ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2016/4/15 - 08:41:20
Haftungsausschluss / Datenschutzerklärung