961816

Willkommen im Monat der Apple-Bugs

02.01.2007 | 14:10 Uhr |

Nicht nur das neue Jahr hat gestern begonnen - Hacker LMH lässt gemeinsam mit Sicherheitsexperte Kevin Finisterre der Ankündigung Taten folgen und beginnt den "Month of Apple Bugs" (MOAB).

Das erste Sicherheitsproblem, das beide veröffentlichen, ist eine nach Expertenmeinung mindergefährliche Schwachstelle in Apples Mediensoftware QuickTime 7, die sowohl Macs als auch Windows-PCs betrifft. Bereits im Monat der Kernel Bugs im November hatte das Projekt Apple einige Schwachstellen aufgezeigt.

Nach der Beschreibung der beiden Initiatoren kann eine speziell hergerichtete Internetadresse in einer HTML-Seite, einem Java-Script oder einer QTL-Film-Datei dafür genutzt werden, fremden Code auf dem betroffenen Rechner auszuführen. Die Lücke selbst sitzt in QuickTimes RTSP-Handling für das Real Time Streaming Protokoll. Belegt sei das Sicherheitsleck in den Mac- und Windows-Versionnen von QuickTime 7.1.3, sollen aber auch frühere Versionen betreffen, so die beiden Hacker.  

Workaround ganz einfach

Als Workaround empfehlen LMH, der seine wahre Identität nicht preisgeben will, und Kevin Finisterre, der auf digitalmunition.com schon mehrfach auf Sicherheitsprobleme aufmerksam gemacht hat, die Deinstallation von QuickTime, das Leben mit diesem Problem oder die Deaktivierung von RTSP-Verarbeitung. Anwender können in Ihren QuickTime-Einstellungen unter dem Reiter Erweitert die MIME-Einstellungen öffnen und dort gleich den ersten Eintrag namens Streaming - Streaming-Filme deaktivieren. Wer den angegebenen Eintrag aufklappt, kann sogar lediglich die Benutzung von RTSP deaktivieren. Wem beim Surfen im Web ein Link mit dem URL-Beginn rtsp:// begegnet, sollte eventuell die Finger davon lassen. Pikant ist in diesem Zusammenhang, dass Apple auf seiner Website die aufgezeichneten Keynotes und so auch wohl die kommende im Real Time Streaming Protokoll verbreitet. Noch sicherer können Anwender gehen, wenn sie dem QuickTime-Plug-in außerdem verbieten, Filme im Webbrowser automatisch abzuspielen - dies geschiet in derselben Systemsteuerung unter dem zweiten Reiter.  

Minderschweres Problem

Die Washington Post lässt in ihrem Blog über Computersicherheit zu diesem Sicherheitsproblem Johannes Ullrich zu Wort kommen, leitender Techniker am SANS Internet Storm Center. Er betrachtet den ersten von wohl 31 Apple-Bugs in diesem Monat als minderschwer. Er verweist zusätzlich darauf, dass ein Benutzer im Alltag sein Benutzerkonto nicht mit Administratoren-Rechten ausstatten soll - dafür eignet sich ein getrennter Admin-Account besser.  

Die "Experten" geben Antworten

Auf der Website des aktuellen Projekts nehmen beide Initiatoren Stellung zu einigen Vorwürfen und stellen fest, dass ihre Arbeit von niemandem bezahlt wird. Ihnen geht es nach eigenem Bekunden um mehr Sicherheit bei Apple-Softwareprodukten und -Hardwaretreibern. Sie lieben - angeblich - Hass-E-Mails von "Apple fan boys" und wollen ihren Beitrag dazu leisten, den Nimbus um die Marke zu entzaubern. Üblich ist es unter namhaften Sicherheitsexperten übrigens nicht, kritische Lücken zu veröffentlichen. Die meisten dieser Experten ziehen es vor, den Hersteller zu kontaktieren und das Problem dort zu schildern - veröffentlicht wird das Problem dann erst, wenn der Hersteller einen entsprechenden Patch bereitstellt. Finisterre und LMH gehen den anderen Weg und bleiben damit der orgehensweise des Hacker-Projekts "Month of...Bugs" treu - warum, das verraten sie allerdings nicht. Illustration: Projekt Month of Apple Bugs

0 Kommentare zu diesem Artikel
961816