« Widget: Übertragen | Start | iPod Quiz für 1 Euro [Update_2] »
24.04.2007
CanSecWest-MBP-Hack: Sicherheitslücke in QuickTime [Update]
Thomas Ptacek veröffentlichte weitere Details zum Hack eines MacBook Pro auf der CanSecWest-Konferenz vor wenigen Tagen. Demnach liegt die Schwachstelle letztlich in QuickTime, genaugenommen in QTs Handhabung von Java-Applets. Wenn QuickTime installiert ist, wird damit jeder Browser mit aktiviertem Java zum potentiellen Angriffsvektor. Bestätigt wurde die Sicherheitslücke bislang im Zusammenspiel mit Safari und Firefox auf Intel-Macs unter 10.4.9 mit sämtlichen verfügbaren Patches. Ob PPC-Macs darüber angreifbar sind, ist bislang noch nicht bestätigt worden. Ebenfalls dürften Firefox-Nutzer unter Windows (Win32, bei installiertem QT) angreifbar sein. Die Abhilfe besteht nach wie vor darin, Java im Browser der Wahl unbedingt bis auf weiteres zu deaktivieren.
Update: In einem Interview empfiehlt Dino Dai Zovi mehr als nur Java zu deaktivieren: «Turn off all unnecessary browser features such as extra plug-ins, JavaScript and Java. There was very little user action involved. Once the browser opened to a Web page that the attacker controlled, it was game over.»
Posted by Leo at 00:43 | Permalink
TrackBack
TrackBack-Adresse für diesen Eintrag:
https://www.typepad.com/services/trackback/6a00d83451c7b569e200d83455691a69e2
Listed below are links to weblogs that reference CanSecWest-MBP-Hack: Sicherheitslücke in QuickTime [Update]:
» Sicherheits-Aktualisierungen en gros und en detail from kensho mac:services
Während die Weltrevolution der nicht ausgelasteten Jugendlichen aus der Provinz rund um unsere Wohnung tobte, habe ich mich mit Frau und Kind ins romantische Brandenburg geflüchtet. Bei Apple gibt es offensichtlich keinen Klassenkampf, weshalb mich n... [Mehr erfahren]
verlinkt am 03.05.2007 21:42:02
