Firefox: Kritische Sicherheitslücke durch QuickTime

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34722
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Firefox: Kritische Sicherheitslücke durch QuickTime

Beitrag von doelf » 13 Sep 2007, 11:07

Im letzten Jahr hatte der Sicherheitsexperte Petko D. Petkov zwei kritische Fehler in Apples QuickTime entdeckt, von denen allerdings nur eine bereinigt wurde. Da der Fehler auch nach einer zweiten Veröffentlichung von Apple nicht ernst genommen wurde, hat Petkov nun eine Demonstration veröffentlicht, welche zeigt, wie sich der Fehler für kritische Angriff ausnutzen lässt. Der Fehler betrifft Nutzer, die den Webbrowser Firefox verwenden und zugleich Apples QuickTime installiert haben.

Für den Angriff muss lediglich eine XML-basierende QuickTime-Link-Datei (.qtl) mit der Endung einer Audio- oder Videodatei abgespeichert und in einer Webseite eingebunden werden. Ruft der Besucher die Webseite mit dem Firefox auf und hat dabei zugleich QuickTime installiert, startet QuickTime die Verarbeitung der Datei. Allerdings ist es hierbei möglich, beliebigen Java-Script Code mit vollen Systemrechten auszuführen. Der Code wird dazu schlicht und einfach im Parameter qtnext übergeben:
"qtnext="-chrome javascript:file=Components.classes['@mozilla.org/file/local;1'].createInstance(Components.interfaces.nsILocalFile); file.initWithPath('c:\windows\system32\calc.exe'); process=Components.classes['@mozilla.org/process/util;1'].createInstance(Components.interfaces.nsIProcess); process.init(file); process.run(true,[],0); void(0);""
Während das Demo von Petkov lediglich den Windows Taschenrechner startet, können Angreifer beliebige Programme ausführen und den PC somit mit Schadsoftware infizieren. Eine Fehlerbereinigung seitens Apple steht auch weiterhin aus.

Quelle:
http://www.gnucitizen.org/blog/0day-qui ... ns-firefox

HAL_9000
Special-Forces
Special-Forces
Beiträge: 657
Registriert: 16 Nov 2004, 03:09
Wohnort: Heidelberg

Beitrag von HAL_9000 » 13 Sep 2007, 13:05

Hallo,
bei mir tut sich nüschd. XP SP2 firefox 2.0.0.6 und NoScript. Selbst wenn ich Scripts erlaube startet nur der Quicktime Player.

Bleibt zu ergänzen: Zum Schutz vor dieser Lücke, hilft es entweder die Erweiterung NoScript zu installieren oder Quicktime zu deinstallieren.

NoScript:
https://addons.mozilla.org/de/firefox/addon/722

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34722
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Beitrag von doelf » 13 Sep 2007, 13:25

Danke für den Tipp!

Benutzeravatar
The Grinch
Administrator
Administrator
Beiträge: 8651
Registriert: 17 Feb 2004, 07:12

Beitrag von The Grinch » 13 Sep 2007, 14:17

keine Ahnung ob es hift, aber zu QuickTime gibt es eine Alternative

http://www.codecguide.com/qt_lite.htm
Möglicher Weise läßt sich dieses Problem damit umgehen?!?

Voyager10
Selber-Schrauber
Selber-Schrauber
Beiträge: 40
Registriert: 16 Apr 2007, 20:00

Beitrag von Voyager10 » 13 Sep 2007, 15:02

Laut Heise geht das auch mit der Quicktime Alternative weil es liegt nicht an Apple Quicktime .
Allerdings ist die gesamte Einschränkung der Multimediafunktionalität im Browser auch keine Endlösung , der Browser hat ein grundsätzliches Problem URLs über ein Sicherheitskonzept zu prüfen, das sieht man schon bei der URI-Problematik.
Beim IE wäre das dort nicht so kritisch, da er mit seinen Sicherheitszonen und der Art Sandbox vom System abgeriegelt ist.

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34722
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Beitrag von doelf » 13 Sep 2007, 16:23

Nein, das Problem liegt hier eher in der QuickTime-Link-Datei. Diese sollte schlicht und einfach keinen Java-Script Code enthalten und Quicktime sollte dies nicht akzeptieren und stattdessen generell ausfiltern.

Gruß

Michael

Antworten