Werbung
« Security Update 2007-004 veröffentlicht | Start | Bastelanleitung für MacBook-Periskop »
21.04.2007
Schwere Sicherheitslücke in QuickTime [Update_3]
Zwei Sicherheitsforscher schafften es im Rahmen der CanSecWest-Konferenz ein vollständig gepatchtes MacBook Pro mit 10.4.9 zu knacken. Die Schwachstelle liegt in QuickTimes Umgang mit Java-Applets im Java-Plugin in Safari (bzw. WebKit - derzeit noch unklar), das über den Besuch einer dafür vorbereiteten Webseite das Ausführen von Schadcode (mit den Rechten des angemeldeten Nutzers) möglich macht. Die technischen Details dürften demnächst veröffentlicht werden. Die Sicherheitslücke selbst soll nicht detailliert preisgegeben, sondern direkt an Apple weitergeleitet werden. Bis auf weiteres empfiehlt es sich dennoch für vorsichtige Anwender, Safari und alle weiteren WebKit-basierten Browser (bis zum hoffentlich bald folgenden Patch) zu meiden. Für ihren erfolgreichen Hack kassierten Shane Macaulay und Dino Dai Zovi $10.000 Preisgeld und das MacBook Pro.
Update: Die Schwachstelle betrifft ebenso Firefox.
«Turn off Java; to be safe, until Dino lets us say more, turn off everything else too. Or live dangerously like me», so Thomas Ptacek dem offenbar bereits weitere Details zu der Sicherheitslücke bekannt sind.
Update_2 23.04. 00:10 Uhr: Die Informationen sind nach wie vor spärlich, aber alles deutet derzeit darauf hin, dass die Lücke tatsächlich im Java-Plugin liegt und über ein böswilliges Java-Applet ausgenutzt werden kann. Insofern fährt man bis auf weiteres besser mit dem Deaktivieren von Java im jeweiligen Browser der Wahl.
Update_3 24.04. 00:45Uhr: QuickTime soll Schuld haben. Weitere Details in einem neuen Artikel. Das Deaktiveren von Java im Browser schützt weiterhin.
Posted by Leo at 15:33 | Permalink
TrackBack
TrackBack-Adresse für diesen Eintrag:
http://www.typepad.com/t/trackback/1350/17897496
Folgende Weblogs beziehen sich auf Schwere Sicherheitslücke in QuickTime [Update_3]:
Kommentare
Aua! Let's switch back to Windows. :-)
Kommentiert von: Martin | 21. April 2007; 21:46
Ne danke!
Mit No-Script lassen sich in Firefox auch schön die Seiten auswählen, die man haben will. Insofern laß ich den Kram mal schön drin.
Kommentiert von: hensing | 21. April 2007; 21:49
Am Ende hat MS diese Lücke im IE vor 3 Wochen gefixt und sie nun an die Cracker weiter gereicht... ich liebe Verschwörungstheorien^^
Kommentiert von: Lord_Kodak | 21. April 2007; 22:02
In den meisten Fälle ist es kein Problem, dass Profis in ein System eindringen, aber das Problem scheint nicht direkt von Apple zu kommen, sondern in den Quellcode von HTML basierten Webseiten zu generieren.. Sorry für mein schlechte Deutsch.
Kommentiert von: John | 21. April 2007; 23:08
Liegt es an der Mac-Version der Java-VM?
vermutlich sind dann auch Opera, OmniWeb und eigentlich alle Webbrowser potentielle Einfallstore - und auch wenn das sehr betrüblich währe - würde es mich doch auch beruhigen. Das hieße nämlich, das nicht das Sicherheitskonzept von MacOS X grundlegend falsch designt ist - sondern nur eine (drittanbieter) Komponente die sich leicht austauschen lässt …
Andererseits wundert mich, das die Typen vom MOAB dieses Loch nicht gefunden haben - statt dessen aber das wahnsinnig schlimme Loch VideoLan als opener genommen haben …
Kommentiert von: Marco | 22. April 2007; 09:40
Was ich mich noch frage: Nützt es etwas, wenn man einen nicht-admin Benutzeraccount nutzt? Dann muss man doch recht oft ein Adminpasswort eingeben, bevor man wichtige Dinge ändern kann. Oder ist das auch eine eher kleine Hürde?
Kommentiert von: | 22. April 2007; 11:30
@marco: Das mit der Java-VM ist eine gute Möglichkeit. Aber das ist nicht direkt eine Komponente von Drittanbietern. Diese wird von Apple selbst "verwaltet", sprich Apple passt Java an Mac OS X an und veröffentlicht die Version selbstständig.
Dabei hat sich Apple oft nicht mit Ruhm bekleckert - vorallem in punkto patchen von Sicherheitsproblemen. Insbesondere ist Apple da leider nicht transparent.
Ob z.B. das GIF Problem ( Sun Alert ID: 102760) auch für Mac OS X relevant ist, konnte ich nirgends entnehmen. Auf der SUN-Seite wird zwar nur von Solaris/Windows/Linux gesprochen, dazu ist aber zu sagen, das SUN wohl nie darauf hinweist ob das Problem auch im OSX-Java exisitert. Wieso auch, macht ja Apple ;-)
Zum Vergleich: Sun Alert ID: 101523 und Security Update 2005-002.
Also kein Update = kein Problem? ;-)
.. huch, da lese ich doch gerade "Dino Dai Zovi" im letzt genannten Apple Advisory. LOL. Bemerkenswert ist auch hier wieder die Fix-Laufzeit .. von 4 Monaten :-(
Kommentiert von: one-of-foo | 22. April 2007; 14:06
Ich dachte immer Java wäre so sicher. Ich werd's trotzdem nicht deaktiviern, da ich eigentlich nur auf Seiten unterwegs bin, wo ich mir schwer vorstellen kann, dass ich bei deren Besuch mich einer Gefahr aussetze.
Kommentiert von: Tekl | 23. April 2007; 09:12
Ich nutze seit 2 Wochen einen Account ohne Admin-Rechte.
Viel mehr Passwort-Eingaben als vorher sind es nicht wirklich, allerdings (warscheinlich) deutlich mehr Sicherheit.
Kommentiert von: DB | 23. April 2007; 09:13
Und ich dachte, ich hätte mit einem nicht-admin Account auch auf dem Mac keine Administratorrechte, selbst wenn ich die PWs der ganzen Firma weiss.
So ist es jedenfalls unter WinXP (habe ich auf der Arbeit) und so gehört es auch.
Kommentiert von: Andreas | 23. April 2007; 23:47
Java hat doch nichts mit Javascript zu tun. Das kann man ruhig anlassen :-)
Kommentiert von: Kim Gammelgård | 24. April 2007; 03:15
@Andreas: Genauso ist das auch, aber die Standard-Konfig sieht da anders aus. Der Initialuser ist immer Admin.
Kommentiert von: DB | 24. April 2007; 09:38
