Sicherheitsupdate schließt Quicktime-Lücke in MacOS X

Sicherheitslücke erlaubt das Ausspähen von Bilddaten. Eine Sicherheitslücke in MacOS X 10.4 erlaubt mit einer präparierten Webseite das Ausspähen von lokalen Informationen über Quicktime für Java und den Quartz Composer. Mit dem aktuellen Sicherheits-Update schließt Apple diese Lücke, die nur MacOS X 10.4.x und die Serverversion des Betriebssystems betrifft.

20. Dezember 2006 um 11:24 Uhr / Andreas Sebayang

1 Kommentare News folgen (öffnet im neuen Fenster)

Mit dem Update sollen Lücken in Quicktime für Java und im Quartz Composer geschlossen werden, die von Geoff Beier bei Apple gemeldet wurden. Auf ungepatchten Systemen soll es möglich sein, beim Besuch einer Website Quicktime dazu zu bewegen, Bilder zurück an die Webseite hochzuladen, ohne dass der Anwender dies bemerkt. Dazu muss auf der Seite ein präpariertes Java-Applet hinterlegt werden, das Zugriff auf eingebettete Quicktime-Objekte nimmt. Dazu muss Quicktime nur über eingebettete Quicktime-Objekte Bilder auf der Webseite darstellen.

In Verbindung mit dem Quartz Composer soll es möglich sein, von außen an "lokale Informationen" zu gelangen. So könnte es möglich sein, auch an die Daten der iSight-Webcam heranzukommen. Beispiele wie etwa dass das eigene Kamerabild via Quicktime auf eine fremde Webseite platziert wird, gibt es schon länger. Mit der Lücke wäre es also theoretisch möglich, das Kamerabild auch von einer Webseite aus abzufangen, ohne dass der Anwender dies wünscht. Apple nennt dieses Angriffszenario jedoch nicht explizit, so dass unklar bleibt, ob dies tatsächlich möglich ist.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Expertin / Experte IT-Lösungsdesign mit dem Schwerpunkt Innovation Lab (w/m/d) Bundesanstalt für Immobilienaufgaben, Berlin (öffnet im neuen Fenster)

PhD Student/Medical Informatician (gn) Universitätsklinikum Münster, Münster (öffnet im neuen Fenster)

System Engineer Netzwerk & Security - Operational Services (m/w/d) SVA System Vertrieb Alexander GmbH, Wiesbaden (öffnet im neuen Fenster)

Referatsleitung Operative IT-Planung und -Steuerung (m/w/d) VBL. Versorgungsanstalt des Bundes und der Länder, Karlsruhe (öffnet im neuen Fenster)

Softwareentwickler Backend (m/w/d) boTec GmbH, Wiesbaden (öffnet im neuen Fenster)

Werkstudent*in im Bereich Kommunikation (m/w/d) Klaus Tschira Stiftung gGmbH, Heidelberg (öffnet im neuen Fenster)

Data Analyst - Customer Interactions (w/m/d) ING Deutschland, Frankfurt am Main (öffnet im neuen Fenster)

Cloud DevOps Engineer (m/w/d) Techniker Krankenkasse, Hamburg (öffnet im neuen Fenster)

Apple empfiehlt das Einspielen des Security Update 2006-008, das für MacOS X 10.4.8 sowohl für die Server-Version als auch den Client zum Download(öffnet im neuen Fenster) zur Verfügung steht. Das Update wird zudem bereits über die Software-Aktualisierung des Betriebssystems ausgeliefert. Betriebssystemversionen, die älter als MacOS X 10.4 sind, sind von der Lücke nicht betroffen. Ebenso ist Quicktime für Windows nicht anfällig für diese Lücke.

Zur Startseite 1 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Sicherheits-Patch für MacOS X

Auch Sicherheitslücken in Komponenten für Browser-Nutzung. Apple hat MacOS X erneut Sicherheits-Patches verpasst, um eine Reihe von Sicherheitslücken in dem Betriebssystem zu schließen. Hierbei geht es auch um Sicherheitslücken, die bei der Verwendung von Apples Safari-Browser auftreten. Einige der Sicherheitslecks gestatten das Ausführen beliebigen Programmcodes.

Drei Sicherheitslücken in Apples WLAN-Funktion

Angreifer können beliebigen Programmcode ausführen. In Apples WLAN-Implementierung namens AirPort wurden drei Sicherheitslücken gefunden, die ein Patch beseitigen soll. Über die Sicherheitslecks in dem Treiber kann ein Angreifer beliebigen Programmcode ausführen und sich so eine umfassende Kontrolle über ein fremdes System verschaffen.

Sicherheits-Patch für MacOS X 10.4.7

Nur Mac-Pro-Systeme und Universal-Server-Variante betroffen. Für Mac-Pro-Syteme mit MacOS X 10.4.7 sowie für den MacOS X Server 10.4.7 in der Universal-Ausführung hat Apple ein Sicherheits-Update veröffentlicht. Damit werden Sicherheitslöcher in den Komponenten ImageIO und OpenSSH des Betriebssystems geschlossen. Über das ImageIO-Leck lässt sich schadhafter Code einschleusen und starten.

Relevante Themen