QuickTime 7 mit "extrem kritischer" Sicherheitslücke
Sicherheitsunternehmen Secunia warnt vor kursierendem Exploit
 |
QuickTime: Akute Bedrohung (Foto: apple.com) |
Kopenhagen (pte019/27.11.2007/11:45) Wie Sicherheitsunternehmen weltweit gemeldet haben, enthält Apples QuickTime 7.3 eine kritische Sicherheitslücke im Real Time Streaming Protocol (RTSP). Das dänische Unternehmen Secunia http://secunia.com hat dabei erstmals seit über einem Monat seine höchste Bedrohungsstufe "extrem kritisch" vergeben. Dies liegt daran, dass die Lücke durch entsprechenden Code auf einer Website auch ohne aktive Nutzer-Interaktion ausgenutzt werden kann und noch kein passender Patch verfügbar ist.
Die kürzlich entdeckte Sicherheitslücke in QuickTime 7.3 nutzt einen Fehler in der Bearbeitung von Antworten des Streaming-Protokolls RTSP. "Eine Website kann Code enthalten, der automatisch einen Quicktime-Stream aufruft, der die Lücke ausnutzt. Der Nutzer muss auf der Seite nicht einmal aktiv einen Link anklicken, um betroffen zu sein", erläutert Thomas Kristensen, Sicherheitsexperte von Secunia, gegenüber pressetext. "Rund 47 Prozent der Internet-Nutzer haben QuickTime installiert und sind somit bedroht", warnt Kristensen vor einer hohen realen Gefährdung. Ein Exploit der Sicherheitslücke ist laut Secunia bereits im Umlauf, einen Patch gibt es noch nicht. Die Kombination dieser drei Faktoren macht die Bedrohung "extrem kritisch", so Kristensen. Diese höchste Bewertung hat Secunia zuletzt am 22. Oktober für eine Lücke im RealPlayer vergeben.
Auf die Frage, wie schnell die QuickTime-Lücke geschlossen werden dürfte, sagt Kristensen zu pressetext: "So weit wir das sehen, sollte das eine relativ einfache Korrektur sein und Apple reagiert unserer Erfahrung nach bei Bedrohungen sehr schnell. Ich halte es also für wahrscheinlich, dass das innerhalb einer Woche behoben wird." Allerdings sei nicht auszuschließen, dass Apple bei der Fehlerkorrektur auf gröbere Probleme stößt, die eine Verzögerung bewirken.
Von Secunia definitiv bestätigt ist die Sicherheitslücke für QuickTime Version 7.3, doch warnt das United States Computer Emergency Readiness Team http://www.us-cert.gov , dass QuickTime-Versionen ab 4.0 betroffen sein könnten. Nutzer der aktuellsten Version von iTunes können auch trotz fehlendem Video-Interesse gefährdet sein, da iTunes QuickTime standardmäßig mitinstalliert.
(Ende)| Aussender: | pressetext.austria |
| Ansprechpartner: | Thomas Pichler |
| Tel.: | +43-1-811-40-303 |
| E-Mail: | pichler@pressetext.com |
