Sicherheitsupdate schließt Quicktime-Lücke in MacOS X

Sicherheitslücke erlaubt das Ausspähen von Bilddaten

Eine Sicherheitslücke in MacOS X 10.4 erlaubt mit einer präparierten Webseite das Ausspähen von lokalen Informationen über Quicktime für Java und den Quartz Composer. Mit dem aktuellen Sicherheits-Update schließt Apple diese Lücke, die nur MacOS X 10.4.x und die Serverversion des Betriebssystems betrifft.

Artikel veröffentlicht am ,

Mit dem Update sollen Lücken in Quicktime für Java und im Quartz Composer geschlossen werden, die von Geoff Beier bei Apple gemeldet wurden. Auf ungepatchten Systemen soll es möglich sein, beim Besuch einer Website Quicktime dazu zu bewegen, Bilder zurück an die Webseite hochzuladen, ohne dass der Anwender dies bemerkt. Dazu muss auf der Seite ein präpariertes Java-Applet hinterlegt werden, das Zugriff auf eingebettete Quicktime-Objekte nimmt. Dazu muss Quicktime nur über eingebettete Quicktime-Objekte Bilder auf der Webseite darstellen.

Stellenmarkt
  1. Requirements Engineer (w/m/d) Softwareentwicklung
    SSI SCHÄFER IT Solutions GmbH, Dortmund, Giebelstadt
  2. Trainer (m/w/d) für Software-Qualitätssicherung
    imbus AG, Möhrendorf bei Erlangen, bundes­weiter Einsatz
Detailsuche

In Verbindung mit dem Quartz Composer soll es möglich sein, von außen an "lokale Informationen" zu gelangen. So könnte es möglich sein, auch an die Daten der iSight-Webcam heranzukommen. Beispiele wie etwa dass das eigene Kamerabild via Quicktime auf eine fremde Webseite platziert wird, gibt es schon länger. Mit der Lücke wäre es also theoretisch möglich, das Kamerabild auch von einer Webseite aus abzufangen, ohne dass der Anwender dies wünscht. Apple nennt dieses Angriffszenario jedoch nicht explizit, so dass unklar bleibt, ob dies tatsächlich möglich ist.

Apple empfiehlt das Einspielen des Security Update 2006-008, das für MacOS X 10.4.8 sowohl für die Server-Version als auch den Client zum Download zur Verfügung steht. Das Update wird zudem bereits über die Software-Aktualisierung des Betriebssystems ausgeliefert. Betriebssystemversionen, die älter als MacOS X 10.4 sind, sind von der Lücke nicht betroffen. Ebenso ist Quicktime für Windows nicht anfällig für diese Lücke.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Waffensystem Spur
Menschen töten, so einfach wie Atmen

Soldaten müssen bald nicht mehr um ihr Leben fürchten. Wozu auch, wenn sie aus sicherer Entfernung Roboter in den Krieg schicken können.
Ein IMHO von Oliver Nickel

Waffensystem Spur: Menschen töten, so einfach wie Atmen
Artikel
  1. OpenBSD, TSMC, Deathloop: Halbleiterwerk für Automotive-Chips in Japan bestätigt
    OpenBSD, TSMC, Deathloop
    Halbleiterwerk für Automotive-Chips in Japan bestätigt

    Sonst noch was? Was am 15. Oktober 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

  2. Whatsapp: Vater bekommt wegen eines Nacktfotos Ärger mit Polizei
    Whatsapp
    Vater bekommt wegen eines Nacktfotos Ärger mit Polizei

    Ein Vater nutzte ein 15 Jahre altes Nacktfoto seines Sohnes als Statusfoto bei Whatsapp. Nun läuft ein Kinderpornografie-Verfahren.

  3. Pornoplattform: Journalisten wollen Xhamster-Eigentümer gefunden haben
    Pornoplattform
    Journalisten wollen Xhamster-Eigentümer gefunden haben

    Xhamster ist und bleibt Heimat für zahlreiche rechtswidrige Inhalte. Doch ohne zu wissen, wer profitiert, wusste man bisher auch nicht, wer verantwortlich ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bis 21% auf Logitech, bis 33% auf Digitus - Cyber Week • Crucial 16GB Kit 3600 69,99€ • Razer Huntsman Mini 79,99€ • Gaming-Möbel günstiger (u. a. DX Racer 1 Chair 201,20€) • Alternate-Deals (u. a. Razer Gaming-Maus 19,99€) • Gamesplanet Anniversary Sale Classic & Retro [Werbung]
    •  /