960426

MySpace-Lücke setzt auf Quicktime: So schützt man sich

05.12.2006 | 15:43 Uhr |

Quicktime kann sich beim Surfen auf MySpace-Seiten als Gefahr erweisen. Die Sicherheitslücke in MySpace ist bereits seit längerer Zeit bekannt, relativ neu ist lediglich das Vehikel, mit dem die Datenklauer sie ausnutzen: Sie setzen auf Quicktime und eine erweiterte Funktion des Apple-Players. Anhand in Videodateien eingebetteter Informationen kann er Webseiten aufrufen und JavaScript ausführen, abschalten lässt sich diese Funktion nicht.

Quicktime 7
Vergrößern Quicktime 7

Bevor bei manchem Panik ausbricht, sei gesagt: Die Sicherheitslücke betrifft aktuellen Informationen zufolge nur Anwender, die selbst ein MySpace-Konto haben. Und sie müssen mit ihrem Benutzernamen bei der Community angemeldet sein, während sie die Seite eines anderen MySpace-Anwenders aufrufen: Ist diese infiziert, geht dann aber alles recht schnell. Der Anwender muss nicht einmal mehr klicken, um auch den MySpace-Account zu infizieren. Ein mit den QuickTime-Standardeinstellungen automatisch abgespieltes manipuliertes Video führt die verhängnisvollen Operationen durch: Es kopiert Phishing-Links auf die eigene MySpace-Seite und bindet sich dort selbst ein. Fortan erwischt es auch die Besucher der eigenen Seite. Besonders gefährlich ist, dass es im Moment ein zweites Sicherheitsproblem in Safari und Firefox gibt: Es sorgt dafür, dass Phishing-Seiten auch MySpace-Anwenderdaten ohne Zutun des Anwenders auslesen können, wenn man sein Passwort im Browser gespeichert hat und sich nicht gegen die Lücke schützt ( wir berichteten ). Definitiv schließen muss die Sicherheitslücke MySpace, die Web-Community gehört dem US-amerikanischen Medienriesen News Corp. Außerdem wäre es sinnvoll, wenn Apple Anwendern die Möglichkeit lassen würde, die JavaScript-Unterstützung in QuickTime abzuschalten. Bis aber die Anbieter nachgeholfen haben, kann man auch erst einmal selbst Hand anlegen: Als erstes sollte man in den QuickTime-Einstellungen unter dem Menüpunkt "Plug-In" das Häkchen vor "Filme automatisch abspielen" entfernen. Damit passiert auf infizierten MySpace-Seiten nichts mehr, wenn man einen manipulierten Film nicht selbst startet. Auch könnte man die QuickTime-Einbindung in Safari und Firefox durch ein alternatives VLC-Plug-in ersetzen - es spielt zwar nicht alle QT-Videoformate ab, führt aber auch keine eingebetteten Kommandos aus. Allerdings sorgte das Plug-in auf unserem Testrechner sowohl in Safari als auch in Firefox zum Absturz. Und schließlich dürfte auch all denen nichts passieren, die sich aus MySpace ausloggen, bevor sie auf die Seiten anderer Anwender zugreifen. Auf Grund des zweiten Sicherheitsproblems sollten sie es außerdem vermeiden, ihren MySpace-Namen und das zugehörige Passwort im Schlüsselbund zu speichern.

0 Kommentare zu diesem Artikel
960426