Abo
  • Services:

Sicherheitsupdate schließt Quicktime-Lücke in MacOS X

Sicherheitslücke erlaubt das Ausspähen von Bilddaten

Eine Sicherheitslücke in MacOS X 10.4 erlaubt mit einer präparierten Webseite das Ausspähen von lokalen Informationen über Quicktime für Java und den Quartz Composer. Mit dem aktuellen Sicherheits-Update schließt Apple diese Lücke, die nur MacOS X 10.4.x und die Serverversion des Betriebssystems betrifft.

Artikel veröffentlicht am ,

Mit dem Update sollen Lücken in Quicktime für Java und im Quartz Composer geschlossen werden, die von Geoff Beier bei Apple gemeldet wurden. Auf ungepatchten Systemen soll es möglich sein, beim Besuch einer Website Quicktime dazu zu bewegen, Bilder zurück an die Webseite hochzuladen, ohne dass der Anwender dies bemerkt. Dazu muss auf der Seite ein präpariertes Java-Applet hinterlegt werden, das Zugriff auf eingebettete Quicktime-Objekte nimmt. Dazu muss Quicktime nur über eingebettete Quicktime-Objekte Bilder auf der Webseite darstellen.

Stellenmarkt
  1. Lachmann & Rink GmbH, Freudenberg und Dortmund
  2. ADAC Ostwestfalen-Lippe e.V., Bielefeld

In Verbindung mit dem Quartz Composer soll es möglich sein, von außen an "lokale Informationen" zu gelangen. So könnte es möglich sein, auch an die Daten der iSight-Webcam heranzukommen. Beispiele wie etwa dass das eigene Kamerabild via Quicktime auf eine fremde Webseite platziert wird, gibt es schon länger. Mit der Lücke wäre es also theoretisch möglich, das Kamerabild auch von einer Webseite aus abzufangen, ohne dass der Anwender dies wünscht. Apple nennt dieses Angriffszenario jedoch nicht explizit, so dass unklar bleibt, ob dies tatsächlich möglich ist.

Apple empfiehlt das Einspielen des Security Update 2006-008, das für MacOS X 10.4.8 sowohl für die Server-Version als auch den Client zum Download zur Verfügung steht. Das Update wird zudem bereits über die Software-Aktualisierung des Betriebssystems ausgeliefert. Betriebssystemversionen, die älter als MacOS X 10.4 sind, sind von der Lücke nicht betroffen. Ebenso ist Quicktime für Windows nicht anfällig für diese Lücke.



Anzeige
Hardware-Angebote
  1. ab 194,90€
  2. (u. a. Grafikkarten, Monitore, Mainboards)
  3. 199€ + Versand

Rhabarberkuchen 20. Dez 2006

"So könnte es möglich sein, auch an die Daten der iSight-Webcam heranzukommen. Beispiele...


Folgen Sie uns
       


Cray X Exoskelett angesehen (Hannover Messe 2019)

Cray X ist ein aktives Exoskelett, das beim Heben unterstützt. Das Video stellt das System vor.

Cray X Exoskelett angesehen (Hannover Messe 2019) Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

  1. Urheberrecht Axel-Springer-Verlag klagt erneut gegen Adblocker
  2. Whitelisting erlaubt Kartellamt hält Adblocker-Nutzung für "nachvollziehbar"
  3. Firefox Klar Mozilla testet offenbar Adblocker

Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck


    Days Gone angespielt: Zombies, Bikes und die Sache mit der Benzinpumpe
    Days Gone angespielt
    Zombies, Bikes und die Sache mit der Benzinpumpe

    Mit dem nettesten Biker seit Full Throttle: Das Actionspiel Days Gone schickt uns auf der PS4 ins ebenso große wie offene Abenteuer. Trotz brutaler Elemente ist die Atmosphäre erstaunlich positiv - beim Ausprobieren wären wir am liebsten in der Welt geblieben.
    Von Peter Steinlechner


        •  /