• IT-Karriere:
  • Services:

Sicherheitsupdate schließt Quicktime-Lücke in MacOS X

Sicherheitslücke erlaubt das Ausspähen von Bilddaten

Eine Sicherheitslücke in MacOS X 10.4 erlaubt mit einer präparierten Webseite das Ausspähen von lokalen Informationen über Quicktime für Java und den Quartz Composer. Mit dem aktuellen Sicherheits-Update schließt Apple diese Lücke, die nur MacOS X 10.4.x und die Serverversion des Betriebssystems betrifft.

Artikel veröffentlicht am ,

Mit dem Update sollen Lücken in Quicktime für Java und im Quartz Composer geschlossen werden, die von Geoff Beier bei Apple gemeldet wurden. Auf ungepatchten Systemen soll es möglich sein, beim Besuch einer Website Quicktime dazu zu bewegen, Bilder zurück an die Webseite hochzuladen, ohne dass der Anwender dies bemerkt. Dazu muss auf der Seite ein präpariertes Java-Applet hinterlegt werden, das Zugriff auf eingebettete Quicktime-Objekte nimmt. Dazu muss Quicktime nur über eingebettete Quicktime-Objekte Bilder auf der Webseite darstellen.

Stellenmarkt
  1. SAUTER Deutschland Sauter-Cumulus GmbH, Freiburg im Breisgau
  2. ekom21 - KGRZ Hessen, Darmstadt, Gießen

In Verbindung mit dem Quartz Composer soll es möglich sein, von außen an "lokale Informationen" zu gelangen. So könnte es möglich sein, auch an die Daten der iSight-Webcam heranzukommen. Beispiele wie etwa dass das eigene Kamerabild via Quicktime auf eine fremde Webseite platziert wird, gibt es schon länger. Mit der Lücke wäre es also theoretisch möglich, das Kamerabild auch von einer Webseite aus abzufangen, ohne dass der Anwender dies wünscht. Apple nennt dieses Angriffszenario jedoch nicht explizit, so dass unklar bleibt, ob dies tatsächlich möglich ist.

Apple empfiehlt das Einspielen des Security Update 2006-008, das für MacOS X 10.4.8 sowohl für die Server-Version als auch den Client zum Download zur Verfügung steht. Das Update wird zudem bereits über die Software-Aktualisierung des Betriebssystems ausgeliefert. Betriebssystemversionen, die älter als MacOS X 10.4 sind, sind von der Lücke nicht betroffen. Ebenso ist Quicktime für Windows nicht anfällig für diese Lücke.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. (u. a. Galaxy S21 mit Galaxy Buds Pro In-Ears und Galaxy Smart Tag für 849€)
  2. 819€ (Ebay Plus - Bestpreis)
  3. 189€ (Bestpreis)
  4. 189,99€ (Bestpreis)

Rhabarberkuchen 20. Dez 2006

"So könnte es möglich sein, auch an die Daten der iSight-Webcam heranzukommen. Beispiele...


Folgen Sie uns
       


    •  /