Schwachstelle im Quicktime Player

Der von Apple für Windows und Mac kostenlos bereit gestellte Quicktime Player enthält bis einschliesslich Version 7.6.5 sowie Quicktime X (für Mac) eine Sicherheitslücke. Sie ermöglicht das Einschleusen und Ausführen von Code mittels präparierter MOV-Dateien. Auch iTunes ist betroffen, da es Quicktime enthält.

Symantecs Sicherheitsportal SecurityFocus benennt iTunes 8.0.2.20 bis 9.0.1.8 sowie Quicktime ab Version 7.3.4 bis QuickTime X als anfällige Software. Eine gestern veröffentlichte Aktualisierung schliesst nunmehr auch die aktuelle Version 7.6.5 für Windows ausdrücklich ein. Der Fehler liegt demnach darin, dass der Quicktime Player vom Benutzer übergebene Daten nicht oder unzureichend prüft, bevor er sie in einen unterdimensionierten Puffer kopiert. Dieser kann überlaufen und Daten in angrenzenden Speicherbereichen werden überschrieben.

Via speziell präparierter MOV-Dateien kann diese Schwachstelle ausgenutzt werden, um beliebigen Code einzuschleusen und die Kontrolle über das System zu erlangen. Exploit-Code für diese Lücke ist öffentlich verfügbar. Ein Sicherheits-Update von Apple, das diese Sicherheitslücke schliessen würde, ist hingegen noch nicht verfügbar.