Verschlüsselung & Datensicherheit

Gefährliche Zero-Day-Lücken in QuickTime für Windows

Vor gefährlichen Zero-Day-Lücken in QuickTime für Windows warnen aktuell der japanische Sicherheitsanbieter Trend Micro und das US-Computer Emergency Response Team (US-CERT). Die Software sollte umgehend deinstalliert werden, so der Rat. Apple will die Version für Microsofts Betriebssystem nicht mehr weiterentwickeln und stellt auch keine Patches mehr bereit.

Apple stellt Support für QuickTime ab sofort ein

Laut Bericht von zdnet.de stellt Apple ab sofort den Support für den Medienabspieler QuickTime unter Windows ein. Deshalb ist es sinnvoll dem Rat der Experten zu folgen und die Software sofort zu deinstallieren. Die zwei Zero-Day-Lücken erlauben nach Erkenntnissen von Trend Micro das Einschleusen und Ausführen von Schadcode aus der Ferne.

Ein Angreifer muss sein Opfer jedoch dazu verleiten, eine schädliche Datei zu öffnen oder eine speziell präparierte Website zu besuchen. Im zehnstufigen Common Vulnerability Scoring System (CVSS) sind die Fehler mit 6,8 bewertet.

Trend Micro informierte Apple bereits 2015

Schon seit dem 11. November 2015 wusste Apple bereits von den bestehenden Lücken. Anfang März dieses Jahres erklärte der iPhone-Hersteller QuickTime für Windows sei „überholt“ und man werde Nutzern eine Anleitung zur Deinstallation von QuickTime für Windows zur Verfügung stellen. Dies geschah allerdings erst eine Woche später nachdem TrendMicro die Lücken offenlegte.

Trend-Micro-Sprecher Christopher Budd  kommentierte dazu in einem Blogeintrag:

„Uns sind keine aktiven Angriffe auf die Anfälligkeiten bekannt“

„Aber die einzige Möglichkeit, Windows-Systeme vor möglichen Angriffen auf diese oder andere Schwachstellen in Apple QuickTime zu schützen, ist, es jetzt zu deinstallieren.“

Dass Apple der Windows-Version von Quicktime nur noch eine geringe Bedeutung beimisst, ist nicht neu. Offiziell unterstützt die Multimedia-Software nämlich nur Vista und Windows 7 – nicht aber neuen OS-Versionen Windows 8 und 10.

Apple bietet QuickTime für Windows weiterhin zum Download an

Die aktuelle QuickTime-Version 7.7.9 ist seit Anfang Januar erhältlich. Das Update stopft 9 Sicherheitslöcher. Zudem entfernt es das QuickTime-Browser-Plug-in, das sich aber durch eine erneute benutzerdefinierte Installation wiederherstellen lässt. Ohne Plug-in sind die jetzt bekannt gewordenen Zero-Day-Lücken allerdings nicht mehr über den Browser ausnutzbar – sogenannte Drive-by-Downloads, also das Einschleusen von Schadsoftware im Hintergrund beim Besuch einer gefährlichen Website, funktionieren nicht mehr.

Apple bietet QuickTime für Windows weiterhin zum Download an. Zudem hat das Unternehmen seine Nutzer bisher nicht offiziell über das Support-Ende informiert.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben