Thema: Update schließt kritische Lücken in Xine-Bibliothek

[SiLæncer]

Ein Sicherheits-Update von Apple schließt insgesamt acht Lücken im Multimedia-System Quicktime. Alle acht beruhen auf Buffer Overflows, über die ein Angreifer eigenen Code in ein System schleusen und starten kann. Dazu genügt es, dass das Opfer eine bösartige Datei mit Quicktime öffnet – die Datei kann etwa als Anhang einer Mail auf den Rechner gelangen oder per Download von einer Webseite. Ob der Angreifer dadurch die Kontrolle über den Rechner übernehmen kann, hängt vom Betriebssystem und der jeweiligen Konfiguration ab.

Die Lücken sind sowohl in der Version für Mac OS X als auch für Windows 2000, XP und Vista enthalten. Standardmäßig sollten Anwender unter Mac OS X und Vista mit eingeschränkten Rechten arbeiten. Die bekannten Privilege-Escalation-Lücken in Mac OS X, um an Root-Rechte zu gelangen, hat Apple bereits mit dem letzten Sicherheits-Update geschlossen.

Die Überläufe in Quicktime treten bei der Verarbeitung manipulierter 3GP-, MIDI-, Quicktime-, PICT- und QTIF-Dateien auf. Betroffen sind Apple QuickTime Version 7.1.4 und vorhergehende. Das Update auf 7.1.5 behebt die Probleme unter Mac OS X und Windows. Ob die Lücken bereits ausgenutzt werden, ist nicht bekannt.

Siehe dazu auch:

    * About the security content of QuickTime 7.1.5, Fehlerbericht von Apple
    * Apple QuickTime Color Table ID Heap Corruption Vulnerability, Fehlerbericht von iDefense

Quelle und Links : http://www.heise.de/newsticker/meldung/86244

[SiLæncer]

Der Linux-Distributor Mandriva hat aktualisierte Pakete für den Medienplayer MPlayer ausgeliefert, in denen eine kritische Lücke in Mandriva 2007 und Mandriva Corporate 3.0 geschlossen wird. Mit präparierten Videodateien ist es möglich, Code auf einen PC zu schleusen und zu starten. Dazu muss das Opfer aber eine bösartige Datei auf den Rechner laden und abspielen. Bei der derzeitigen Popularität von Seiten wie YouTube, ClickFish und dergleichen sollte dies einen Angreifer aber vor keine allzu große Hürde stellen. Einen ähnlichen Vorfall gab es bereits im Dezember 2006, bei dem Phisher Passwörter mittels präparierter Quicktime-Videos ausspähten.

Das Problem in MPlayer beruht auf einem Fehler in der Funktion DMO_VideoDecoder im Modul loader/dmo/DMO_VideoDecoder.c, die eine später für eine memcopy-Operation benutzte Variable nicht auf ihre Gültigkeit prüft. In der Folge tritt unter bestimmten Umständen ein Buffer Overflow auf, mit dem sich der Stack überschreiben lässt.

Betroffen sind die Versionen bis einschließlich MPlayer 1.0rc1. Der Fehler ist seit zwei Wochen im CVS beseitigt, bis in der herunterladbare Version hat er es aber noch nicht geschafft. Die anderen Linux-Distributoren dürften in Kürze mit eigenen fehlerkorrigierten Paketen nachziehen.

Da Xine und MPlayer teilweise die gleiche Codebasis benutzen, ist Xine ebenfalls verwundbar. Ubuntu hat deshalb neue Pakete der xine-Bibliothek xinelib veröffentlicht. Ein Update für den MPlayer gibt es von Ubuntu nicht, da dieser aus dem Multiverse-Repository stammt. Die Repositories Universe und Multiverse erhalten nämlich keinen vollen Support mit Security-Updates. Diese Problematik hat bereits in der Vergangenheit zu Problemen bei Ubuntu-Anwendern geführt.

Windows-Anwender müssen auf ein offizielles Release warten, alternativ können sie die Quellen aus dem CVS auch selbst übersetzen.

Siehe dazu auch:

    * MPlayer DMO buffer overflow, Fehlerbericht von Moritz Jodeit
    * Updated mplayer packages to address buffer overflow vulnerability, Fehlerbericht von Mandriva
    * xine-lib vulnerability, Fehlerbericht von Ubuntu

Quelle und Links : http://www.heise.de/security/news/meldung/86481

[SiLæncer]

Anwender der Windows-Version von QuickTime sollten überprüfen, ob auch wirklich die aktuelle Version 7.1.5 installiert ist und gegebenenfalls diese manuell herunterladen und installieren. Offenbar funktioniert nämlich das automatische Update von QuickTime unter Windows nicht – auf dem Rechner läuft weiterhin die verwundbare Version 7.1.3. Selbst das Anstoßen der Suche nach Updates liefert als Ergebnis zurück, dass die installierte Version (7.1.3) die aktuellste sei, obwohl seit über einer Woche 7.1.5 zum Download angeboten wird. Unter Mac OS X funktioniert das automatische Update hingegen reibungslos. Die Ursache des Problems ist nicht bekannt, eine Anfrage von heise Security an den Hersteller läuft noch.

Siehe dazu auch:

    * Apple schließt acht kritische Lücken in QuickTime, Meldung auf heise Security -> http://www.heise.de/security/news/meldung/86244

Quelle : www.heise.de

[SiLæncer]

Auf der Community-Site Myspace ist ein neuer Quicktime-Exploit entdeckt worden, der mit einer präparierten MOV-Datei eine dokumentierte Funktion in Quicktime ausnutzt, um ein Script auszuführen.

Der Antivirus-Hersteller McAfee warnt vor einem verdächtigen Script, das derzeit auf der Myspace-Website nach Opfern sucht. Wer sich auf eine Seite begibt, die Werbung für eine französische Musikgruppe namens "Mamasaid" macht, läuft Gefahr bespitzelt zu werden. Entdeckt hat die fragwürdige Seite Didier Stevens, der in seinem Blog darüber berichtet.

Inzwischen hat auch McAfee eine ausführliche Beschreibung des Schädlings veröffentlicht. Die Myspace-Seite der Band enthält einen eingebetteten Aufruf einer MOV-Datei, die auf einem externen Server liegt. Diese nutzt eine dokumentierte Funtionalität in Quicktime, die Apple " HREF tracks " nennt. Dabei wird in diesem Fall Javascript-Code in die MOV-Datei eingebaut, der Benutzerdaten ausspionieren soll. Das Script ermittelt den Myspace-Benutzernamen des Besuchers, weitere von ihm benutzte Profile, seine "FriendID", die gerade besuchte Seite sowie diejenige Seite, über die er auf die aktuelle Seite gelangt ist (der so genannte "Referrer"). Die gesammelten Daten werden an einen anderen Web-Server übertragen. Unklar bleibt, welchem Zweck diese Datensammlung dient.

Es handelt sich also zumindest im Moment nicht um den Versuch, auf den Rechnern der Besucher Malware zu installieren. Das Script kann jedoch jederzeit modifiziert werden, um genau dies zu tun. Es könnte zudem von anderen als Vorlage für böswilligere Aktionen als diese Variante von Stalking genutzt werden. Die MOV-Datei selbst wird derzeit nur von Symantec/Norton erkannt (als "Downloader"), das von der MOV geladene Script von McAfee als "JS/SpaceStalk" und von Symantec als "Infostealer". Andere Antivirus-Programme erkennen derzeit noch keine von beiden.

Quelle : www.pcwelt.de

[SiLæncer]

QuickTime-Patch für MacOS X und Windows

Gut eine Woche, nachdem ein Sicherheitsleck in Apples QuickTime entdeckt wurde, steht ein Patch bereit. Das Sicherheitsleck tritt auf Windows- und Mac-Systemen auf und Angreifer können darüber beliebigen Programmcode einschleusen und ausführen.

Das Sicherheitsloch in Apples QuickTime tritt im Zusammenspiel mit der Ausführung eines Java-Applets auf, so dass jeder Java-fähige Browser für einen Angriff anfällig wäre. Ein Angreifer muss sein Opfer lediglich zum Besuch einer manipulierten Webseite bringen, um dann Schadcode über ein Java-Applet auszuführen.

Apple hat die Version 7.1.6 von QuickTime für MacOS X und Windows veröffentlicht, um das Sicherheitsloch zu schließen.

http://www.apple.com/support/downloads/

Quelle : www.golem.de

[SiLæncer]

In Apples QuickTime schließt der Hersteller zwei Sicherheitslücken, die Angreifer etwa mit manipulierten Webseiten zum Ausführen von fremdem Code auf dem Rechner missbrauchen können. Die Schwachstellen betreffen QuickTime 7.1.6 sowohl für Mac OS X als auch für Windows.

Die Fehler betreffen erneut QuickTime für Java. Ähnlich wie bei der im Rahmen des Hack-a-Mac-Wettbewerbs gefundenen, mit QickTime Version 7.1.6 geschlossenen Lücke ist es Angreifern möglich, auf Objekte außerhalb des eigenen Speicherbereichs zuzugreifen und diese zu verändern oder dort sogar eigene Objekte zu erstellen. Eine zweite Lücke erlaubt es Java-Applets, den Speicher des Browsers zu lesen und so an vertrauliche Daten zu gelangen.

Quelle : www.heise.de

[SiLæncer]

Der Sicherheitsspezialist Petko Petkov (pdp) weist in einem Blog-Eintrag auf eine Schwachstelle hin, durch die Angreifer mit präparierten QuickTime-Mediendateien beliebigen JavaScript-Code mit den höchsten Rechten in Firefox ausführen oder Programme auf dem Rechner starten können. Dazu muss Firefox als Standard-Browser auf dem Rechner eingerichtet und Apples QuickTime beziehungsweise Berichten zufolge auch QuickTime Alternative installiert sein – keine ungewöhnliche Konfiguration.

Das Problem tritt auf, wenn das QuickTime-Plug-in in Firefox sogenannte QuickTime-Link-Dateien (.qtl) verarbeitet. Diese XML-Dateien enthalten in der Regel einen Link auf die eigentliche Mediendatei und gegebenenfalls noch weitere Steuerungsanweisungen, die der QuickTime-Player befolgt. QuickTime interpretiert diese Anweisungen auch dann, wenn die Datei eine andere, ebenfalls mit dem QuickTime-Plug-in verknüpfte Endung wie .mov oder .mp3 besitzt.

QuickTime-Link-Dateien können auch mit geänderter Dateiendung beliebiges JavaScript ausführen.

Durch den Parameter qtnext in .qtl-Dateien kann beliebiger JavaScript-Code im Browser ausgeführt werden. Gibt ein Angreifer dort noch den Schalter -chrome an, läuft das JavaScript im Kontext von chrome – und damit mit Zugriffsrechten auf lokale Ressourcen. Petkov zufolge können Angreifer so etwa beliebige Browser-Komponenten wie Hintertüren installieren; arbeitet der Anwender mit Administratorrechten, seien auch beliebige Zugriffe auf Betriebssystemebene denkbar. heise Security konnte das Problem mit Firefox 2.0.0.6 und QuickTime 7.2.0.240 unter Windows XP mit Service Pack 2 nachvollziehen.

Wie sich Anwender schützen können, erläutert Petkov jedoch nicht. Anwender berichten, dass die NoScript-Erweiterung die Beispiel-Exploits blockiert, die Petkov zur Demonstration der Sicherheitslücke in seinem Blog bereitstellt. Im Test von heise Security funktionierten die Beispiel-Exploits bei installierter NoScript-Erweiterung tatsächlich nicht. Die Deinstallation von QuickTime stellt ebenfalls eine Alternative dar. Betroffene Anwender sollten daher entweder die NoScript-Erweiterung installieren, einen anderen Standard-Browser wie Opera einrichten oder QuickTime deinstallieren, bis Apple eine aktualisierte Software-Version herausgibt.

Siehe dazu auch:

    * 0DAY: QuickTime pwns Firefox, Sicherheitsmeldung von pdp -> http://www.gnucitizen.org/blog/0day-quicktime-pwns-firefox

Quelle : www.heise.de

[SiLæncer]

Die kürzlich von Petko Petkov (pdp) gemeldete Sicherheitslücke im QuickTime-Plugin für Firefox schließen die Browser-Entwickler mit der Firefox-Version 2.0.0.7. Andere Korrekturen enthält die neue Version nicht. Angreifer können in den Vorgängerversionen mit präparierten QuickTime-Link-Dateien (.qtl) schädlichen Programmcode auf Rechnern von Firefox-Nutzern mit den höchsten Rechten im Browser ausführen und so möglicherweise die vollständige Kontrolle über das System übernehmen.

Ursprünglich sollte die Schwachstelle bereits in Firefox 2.0.0.5 geschlossen sein. Die Sicherheitsmeldung MFSA 2007-23 beschreibt einen Fehler, durch den der Internet Explorer beim Aufruf von Programmen Anführungszeichen nicht korrekt ausfiltert und so Programme mit Parametern aufgerufen werden können. Firefox und Thunderbird ließen sich so auch mit dem Parameter -chrome starten, wodurch etwa JavaScript mit den höchsten Rechten im Browser läuft und zur Kompromittierung des Systems führen kann.

In dem Fehlerbericht MSFA 2007-28 erläutern die Mozilla-Entwickler, dass QuickTime diese Aufrufe jedoch in einer außergewöhnlichen Art und Weise durchführe und dadurch erneut eine Lücke in Firefox und SeaMonkey klaffe. Der Fehler sei Apple bekannt und sollte bereits mit Version 7.1.5 von QuickTime behoben sein, offensichtlich ist dies aber nicht der Fall.

Die Version 2.0.0.7 von Firefox dichtet diese Schwachstelle nun ab. Auf den Seiten des Seamonkey-Projekts, das die Schwachstelle laut der Fehlermeldung der Mozilla-Entwickler ebenfalls enthält, ist bislang jedoch noch keine neue Version aufgetaucht. Firefox-Nutzer können das Update über die integrierte Update-Funktion herunterladen und installieren. Die neue Version steht aber auch als vollständiges Installationspaket auf den Servern des Mozilla-Projekts zum Download bereit. Firefox-Nutzer sollten das Update umgehend einspielen, sofern sie entweder QuickTime oder QuickTime-Alternative installiert haben.

Quelle : www.heise.de

[SiLæncer]

pple hat ein Update der Windows-Version von QuickTime herausgegeben, mit der Angreifer ein System manipulieren konnten. So ließ sich mit präparierten QuickTime-Link-Dateien (.qtl) schädlicher Programmcode etwa auf Rechnern von Firefox-Nutzern im Browser ausführen. Die Firefox-Entwickler haben das Problem bereits mit Firefox 2.0.0.7 beseitigt. Nun zieht Apple mit QuickTime 7.2 für Windows Vista und XP SP2 nach, um den eigentlichen Fehler aus der Welt zu schaffen. Mac OS X ist nicht betroffen.

Siehe dazu auch:

    * Security Update for QuickTime 7.2, Update-Beschreibung von Apple -> http://docs.info.apple.com/article.html?artnum=306560

Quelle : www.heise.de

[SiLæncer]

Apple schließt mit Quicktime 7.3 sieben Schwachstellen, von denen alle als kritisch einzustufen sind, da Angreifer darüber ein System mit Schädlingen infizieren könnten. Dazu genügt es, präparierte Filme oder Bilder mit einer verwundbaren Version von Quicktime zu öffnen. Laut Fehlerbericht von Apple liegen die Ursachen für die Sicherheitslücken unter anderem in Fehlern bei der Verarbeitung von Sample-Table-Sample-Descriptor-Atomen (STSD) in Filmen, Panorama-Sample-Atomen in Quicktime-Virtual-Reality-Filmen (QTVR), Image-Description-Atomen und Color-Table-Atomen in Quicktime-Filmen. Der Begriff "Atom" steht in diesem Zusammenhang für einen Container, der Beschreibungen oder Daten enthalten kann. In der Folge lassen sich Heap Overflows gezielt provozieren und darüber Schadcode in den Speicher schleusen sowie mit den Rechten des Anwenders ausführen.

Ähnliche Fehler finden sich in den Funktionen zur Darstellung von Bildern im PICT-Format. Schließlich behebt Apple noch einen Fehler von Quicktime im Umgang mit Java-Applets, durch den sich ein System schon beim Besuch einer manipulierten Webseite kompromittieren lassen soll. Schon im April musste Apple ein Quicktime-Lücke schließen, die in Zusammenhang mit Java auftrat. Das Update steht für Mac OS X v10.3.9, Mac OS X v10.4.9, Mac OS X v10.5, Windows Vista und Windows XP SP2 zur Verfügung.

Siehe dazu auch:

    * About the security content of QuickTime 7.3, Fehlerbericht von Apple
    * Apple QuickTime Panorama Sample Atom Heap Buffer Overflow Vulnerability, Fehlerbericht von iDefense
    * Apple QuickTime Color Table RGB Parsing Heap Corruption Vulnerability, Fehlerbericht von ZDI
    * Apple Quicktime PICT File PackBitsRgn Parsing Heap Corruption Vulnerability, Fehlerbericht von ZDI
    * Apple QuickTime PICT File Poly Opcodes Heap Corruption Vulnerability, Fehlerbericht von ZDI
    * Apple QuickTime Uncompressedfile Opcode Stack Overflow Vulnerability, Fehlerbericht von ZDI

Quelle und Links : http://www.heise.de/security/news/meldung/98499/Apple-schliesst-sieben-kritische-Luecken-in-Quicktime

[SiLæncer]

Das USCert warnt vor einem Buffer Overflow in Apples aktueller Quicktime-Version. Angreifer können einen Pufferüberlauf durch die Manipulation der Content-Type-Header in einem RTSP-Datenstrom erzwingen und damit auch Schadcode in das angegriffene System einschleusen. Anwender von Apples Multimedia-Software iTunes sind von der Lücke ebenfalls betroffen, da bei der iTunes-Installation eine aktuelle Version von Quicktime auf dem System eingerichtet wird.
Im milw0rm-Archiv sind bereits Beispielprogramme aufgetaucht, die die Lücke demonstrieren sollen. Da es von Apple noch keinen Patch für diese Lücke gibt, ist die einzige Abhilfe für das Abspielen von RTSP-Strömen andere Software zu nutzen oder die Nutzung von Streaming-Daten über die Firewall einzuschränken. Vorsicht ist auch bei QuickTime-Link-Dateien (.qtl) angebracht, da diese ebenfalls RTSP-Quellen referenzieren können. Die Version 7.3 hatte Apple erst vor wenigen Wochen veröffentlicht.

Quelle : www.heise.de

[SiLæncer]

Apple schließt mit QuickTime 7.3.1 mehrere kritische Sicherheitslücken, über die es möglich ist, einen Rechner mit Schädlingen zu infizieren. So lässt sich ein Pufferüberlauf durch die Manipulation der Content-Type-Header in einem RTSP-Datenstrom erzwingen und damit Schadcode in das angegriffene System einschleusen. Die Lücke ist bereits eit drei Wochen bekannt und wird bereits seit fast zwei Wochen aktiv ausgenutzt, um die Systeme von Besuchern präparierter Webseiten zu kompromittieren. Es ist nicht bekannt, ob die Angriffe nur auf Windows-Anwender abzielen oder auch Mac-Anwender Ziel der Attacken sind.

Außerdem beseitigt Apple mit dem Update einen Heap Overflow in den Verarbeitungsroutinen von QTL-Dateien, über die sich ebenfalls Code einschleusen und mit den Rechten des Anwenders ausführen lässt. Schließlich weist der Flash-Media-Handler von QuickTime mehrere Sicherheitslücken auf, von denen sich mindestens ein ausnutzen lässt, um ein System aus Ferne unter seine Kontrolle zu bringen.

Laut Fehlerbericht behebt das Update die eigentliche Lücken nicht, sondern deaktiviert den Handler für Flash. Nur eine begrenzte Anzahl bekannter sicherer QuickTime-Filme soll der Handler noch verarbeiten dürfen. Wie das genau funktionieren soll, schreibt Apple nicht. Der Flash-Handler ist seit Version 4 Bestandteil von QuickTime und ermöglicht Macromedia Flash-SWF-3.0/4.0-Dateien als Track in einen QuickTime-Film einzubetten.

QuickTime 7.3.1 steht für Windows (Vista, XP), Panther, Tiger und Leopard zum Download bereit. Apple-Anwender müssen knappe 50 MByte saugen, Windows-Anwender nur 20 MByte.

Aufgrund der Zahl der dieses Jahr in QuickTime bekannt gewordenen Lücken scheint das Abspielen von Videos und Musik damit derzeit mit Abstand am gefährlichsten. Zwar wurde etwa auch am vergangenen Microsoft-Patchday ein Problem rund um Windows Media beseitigt, die Statistik des SANS-Institute zählt für Microsofts Mediaplayer jedoch insgesamt weitaus weniger Lücken.

http://www.apple.com/support/downloads/

Quelle : www.heise.de

[SiLæncer]

Nachdem Luigi Auriemma bereits eine Sicherheitslücke in der xine-lib beim Verarbeiten von RTSP-Datenströmen entdeckt hat, veröffentlichte er nun auch Details über Schwachstellen im VLC Mediaplayer und in Apples QuickTime. Auch bei diesen Playern können Angreifer mit manipulierten RTSP-Datenströmen fremden Code einschleusen und ausführen.

Das VLC-Projekt hat Programmcode aus dem Xine-Projekt übernommen, in dem beim Dekodieren von RTSP-Strömen aufgrund fehlender Längenprüfungen ein Pufferüberlauf auf dem Heap auftreten kann. Der Fehler befindet sich in der Datei modules/access/rtsp/real_sdpplin.c.

In QuickTime kann bei der Anzeige von HTTP-Fehlermeldungen ein Pufferüberlauf auftreten. Der Fehler soll sich in QuickTime unter Windows provozieren lassen, indem ein Angreifer einen Link auf einen RTSP-Server bereitstellt, ohne dass ein Server auf dem Netzwerk-Port 554 lauschen würde. QuickTime versucht laut Auriemma in so einem Fall, auf den HTTP-Port 80 zuzugreifen, wobei der Serverbetreiber dann mit manipulierten Ausgaben von Fehlermeldungen wie 404 - Page not found den Pufferüberlauf in der Display-Routine von QuickTime auslösen kann. Unter Mac OS X konnte der Fehler bislang aber noch nicht nachvollzogen werden.

Für beide Player – betroffen sind die aktuellen Versionen 7.3.1.70 von QuickTime beziehungsweise 0.8.6d von VLC – steht derzeit keine fehlerbereinigte Version bereit. Damit sind zwei der drei beispielsweise in der Mediathek des ZDF überhaupt benutzbaren Mediaplayer für Angriffe anfällig. Dort kann man daher derzeit lediglich den Windows Media Player mit ruhigem Gewissen nutzen.

Quelle : www.heise.de

[SiLæncer]

Mit aktualisierten Versionen schließen die Entwickler der Medienbibliothek xine-lib Schwachstellen in der Software. Angreifer konnten Anwendern zuvor mit manipulierten Datenströmen oder MPEG-Dateien beliebigen Programmcode unterschieben.

In Version 1.1.9.1 haben die Entwickler eine kürzlich bekannt gewordene Schwachstelle beim Streaming mit dem Realtime-Streaming-Protokoll (RTSP) behoben. Die jetzt veröffentlichte Version 1.1.10 behebt einen weiteren Fehler beim Verarbeiten präparierter MPEG-Dateien, der ebenfalls zur Ausführung eingeschleusten Schadcodes führen konnte. Dieser Fehler betraf ursprünglich die xine-lib 1.1.1 und wurde bereits behoben, die Entwickler haben ihn im Laufe der Weiterentwicklung aber wieder eingeführt.

Die neuen Versionen beheben zudem weitere Fehler, die beispielsweise zu Störungen bei der Tonausgabe führen konnten. Quellcode-Pakete der aktualisierten Fassungen für Selbstkompilierer stehen auf den Projektseiten zum Download bereit. Die Linux-Distributoren dürften in Kürze neue Pakete ausliefern. Nutzer der Software sollten sie bei Verfügbarkeit umgehend einspielen.

Siehe dazu auch:

    * Changelog zur xine-lib-Version 1.1.10
    * Changelog zur xine-lib-Version 1.1.9.1
    * CVE-Eintrag zum Fehler beim Verarbeiten von präparierten MPEG-Dateien
    * Medienbibliothek xine-lib patzt beim Streamen, Meldung von heise Security


Quelle : http://www.heise.de/security/news/meldung/102535/Update-von-xine-lib-schliesst-Sicherheitsluecken--

[SiLæncer]

Apple hat QuickTime 7.6 für Mac OS X und Windows veröffentlicht, das mehrere Verbesserungen mitbringt und sieben kritische Sicherheitslücken schließt. Laut Apple ermöglichen alle Lücken das Einschleusen und Starten von Code auf einem System mit den Rechten des angemeldeten Nutzers. Die Probleme beruhen unter anderem auf Fehlern bei der Verarbeitung von Filmen in verschiedenen Datei-Formaten und unterschiedlichen Codecs. Für einen erfolgreichen Angriff genügt es, dass ein Opfer eine manipulierte Datei mit QuickTime abspielt.

Das Update soll zudem die Stabilität sowie die Kompatibilität etwa mit iChat und Photo Booth verbessern. Darüber hinaus gab es einige Korrekturen bei Audio- und Videocodecs. Das Update ist je nach Betriebssysteme zwischen 20 und 72 MByte groß und steht für Mac OS X v10.4.9 bis v10.4.11, Mac OS X v10.5.x, Windows Vista, XP SP2 und SP3 zum Download zur Verfügung.

Daneben hat Apple ein weiteres Sicherheits-Update für QuickTime unter Windows veröffentlicht. Es soll eine Sicherheitslücke in der QuickTime MPEG-2 Playback Component beheben. Standardmäßig ist die Komponente nicht im Lieferumfang von QuickTime enthalten und muss zusätzlich erworben werden. Das Update soll jedoch kostenlos zu beziehen sein.

http://www.apple.com/de/quicktime/

Quelle : www.heise.de