Apple hält sich bei Sicherheitslecks weiterhin bedeckt
Immer wieder stellt Apple leider nur unzureichende Informationen bereit, wenn Sicherheitslücken in Applikationen des Herstellers behoben werden. Im aktuellen Fall dauerte es drei Wochen, bis Apple überhaupt verriet, dass QuickTime 7.0.3 gleich vier Sicherheitslecks schließt. Allerdings lassen auch die nun bereit gestellten Informationen zu wünschen übrig und verschweigen vielfach die Folgen der Sicherheitslücken, die nur in den Dokumenten erläutert werden, die der Entdecker der Sicherheitslücken, Piotr Bania, veröffentlicht hat.
So erklärt Apple etwa in der endlich veröffentlichen Sicherheitsinformation(öffnet im neuen Fenster) zu QuickTime 7.0.3, dass es zu einem Puffer-Überlauf im Programm kommen kann, wenn eine ältere QuickTime-Version eine manipulierte PICT-Datei öffnet. Dies kann von Angreifern zum Ausführen von Programmcode missbraucht werden, wie Piotr Bania berichtet(öffnet im neuen Fenster) . Apple selbst verschweigt die Auswirkung der Sicherheitslücke, so dass Anwender sowie Administratoren durch die Apple-Informationen nichts über die Gefährdung durch das Sicherheitsloch erfahren.
Die Folgen von zwei weiteren Sicherheitslecks in früheren QuickTime-Versionen werden von Apple gleichfalls verschwiegen, obwohl beide(öffnet im neuen Fenster) Sicherheitslücken(öffnet im neuen Fenster) einem Angreifer ebenfalls das Ausführen von Programmcode erlauben. Dazu muss ein Opfer lediglich dazu gebracht werden, eine speziell formatierte MOV-Datei zu öffnen, um so eine umfassende Kontrolle über ein fremdes System zu erlangen.
Bei der vierten Sicherheitslücke, die durch QuickTime 7.0.3 geschlossen wird, gibt sich Apple ausnahmsweise weniger zugeknöpft und verrät, dass das Sicherheitsloch(öffnet im neuen Fenster) für eine Denial-of-Service-Attacke missbraucht werden kann. Dazu müssen entsprechende Inhalte entsprechend aufbereitet werden. Alle Sicherheitslücken gelten für die Windows- und MacOS-X-Versionen von QuickTime und sollen mit der seit drei Wochen verfügbaren Version 7.0.3 von QuickTime geschlossen werden.
Vollkommen unklar bleibt, warum Apple es in Bezug auf Sicherheitslücken wiederholt vorzieht, sich in Schweigen zu hüllen, anstatt die Kunden angemessen zu informieren. Schließlich lassen sich die Risiken für Nutzer und Administratoren nicht abschätzen, wenn sie nur unvollständig und wie in diesem Fall mit massiver Verzögerung über Sicherheitslecks in Apple-Applikationen informiert werden.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.