Kritische Sicherheitslücke in Quicktime

[yjnthaar]

Ist ausschließlich RTSP betroffen oder auch DSP? Bin mal gespannt ob der Exploit wirklich einer ist. Manchmal wird ziemlich laut geschrieen (besonders bei den Month of XYZ) und dann war's doch nur Wasser, wie oben schon mehrfach angedeutet. z.B. im letzten Month of Kernel Bugs wurde ein DMG-Exploit gepostet der dann doch keiner war. However. RTSP ist rausgenommen erstmal. Thx nach Franken für den Hinweis.

Salute,
Simon

 

[P.Stylez]

Ist ausschließlich RTSP betroffen oder auch DSP? Bin mal gespannt ob der Exploit wirklich einer ist. Manchmal wird ziemlich laut geschrieen (besonders bei den Month of XYZ) und dann war's doch nur Wasser, wie oben schon mehrfach angedeutet. z.B. im letzten Month of Kernel Bugs wurde ein DMG-Exploit gepostet der dann doch keiner war. However. RTSP ist rausgenommen erstmal. Thx nach Franken für den Hinweis.

Salute,
Simon

Dieser Exploit ist definitiv reproduzierbar.

 

[Konrad]

So wie ich das sehe, gibt es schon den 2. Wobei der ja nur indirekt mit Apple zutun hat:

http://projects.info-pull.com/moab/MOAB-02-01-2007.html

 

[samro]

Danke für eure Geduld. Habe mit eurer Hilfe das Häkchen auch entfernen können.

Mensch, 11 Freunde muss man sein, wenn ein Spiel man will gewinnen.

Das Jahr fängt gut an.

Best Wishes!

Sascha

 

[Ijon Tichy]

VLC hat auch ein Loch.

Ups, hatte Konrad ja schon gepostet.

 

[kimba]

Vielen Dank. Habe auch gleich mal den Haken entfernt.

 

[Sir Q]

Nö, die Aktion wurde als „Month of Apple Bugs“ angekündigt.

Ich hatte auch nachgeschaut - es scheint nur in einigen Blogs falsch kolportiert worden zu sein. Nun denn, im „Month of Apple Bugs” haben wir dann also 2 Schwachstellen in Video-Playern (gestern Quick-Time und heute VLC). Was kommt morgen - der RealPlayer?

~

Wer auch so seinen Spass an der ganzen Sache hat, dem kann ich den schon etwas älteren Podcast /dev/radio empfehlen - in diesem speziellen Fall direkt verlinkt zur „Episode” mit dem schönen Titel: Mac-OS-X-Hacks.
Darin wird unter anderem Bezug genommen auf das Chaos-Seminar Mac-Hacks, dass auch als Video zur Verfügung steht - sehr eindrucksvoll

 

[T-lo]

Auch wenn es schon irgendwo steht:
Systemeinstellungen -> QuickTime -> MIME Einstellungen -> "Streaming" das Häkchen entfernen (das erste Häkchen in der Liste...)

Grüße aus Berlin,
der T-lo

 

[Netzbuddha]

Also, ich habe mal durch die ganzen Einstellungsoptionen im VLC geblättert, und weiss nicht so recht, was ich da wo abschalten muss, um VLC sicher zu machen. Kann mir das vielleicht jemand sagen?
LG. Netzbuddha.

 

[Netzbuddha]

Hmm... kennt keiner die Antwort, oder will sie mir keiner sagen?

 

[Ijon Tichy]

Hmm... kennt keiner die Antwort, oder will sie mir keiner sagen?

Guckst du hier - Handarbeit ist gefragt.

Oder warten - Zitat: Updated binaries for Windows and MacOS X will be published within the next few hours.

 

[Bonobo]

Interessanter Kommentar zur und Fix fuer die Luecke auf Unsanity.org, das ist das Blog von Unsanity.com, der Firma, die viele sehr beliebte (aber auch teilweise umstrittene) Haxies macht.


Und VLC hat uebrigens nichts mit Apple zu tun und umgekehrt, die VLC-Luecke existiert auch auf Windows ...

 

[Ijon Tichy]

Und VLC hat uebrigens nichts mit Apple zu tun und umgekehrt, die VLC-Luecke existiert auch auf Windows ...

So isses. Hat aber keiner was anderes behauptet.

 

[P.Stylez]

Der dritte Bug wurde released.

Diesmal gehts wieder um eine Lücke in Quicktime, über die durch HREFTrack Attribute XSS Hacks in Gang gestoßen werden können. Mr. LMH will nun beweisen, dass durch eine Kombination aus verschiedenen Sicherheitslücken und XSS böser Code auf einer Maschine ausgeführt werden kann:

http://projects.info-pull.com/moab/MOAB-03-01-2007.html

Scheinbar betriffts allerdings nur Windows Systeme, wenn ich das alles richtig verstanden hab.

Exploitation conditions

We are using an already patched vulnerability on Windows 2000 SP4 to demonstrate one of the possible attack vectors to abuse this issue.

Scheinbar kann durch diese Sicherheitslücke eine weitere Lücke im Internet Explorer ausgenutzt werden.


Damit gesellt sich Bug Nr. 3 mit Bug Nr. 2 zu den etwas fragwürdigeren AppleBugs.

 

[Bonobo]

Scheinbar oder anscheinend? (http://www.spiegel.de/kultur/zwiebelfisch/0,1518,315125,00.html, http://www.wer-weiss-was.de/faq1143/entry169.html)

 

[Ijon Tichy]

Scheinbar oder anscheinend? (http://www.spiegel.de/kultur/zwiebelfisch/0,1518,315125,00.html, http://www.wer-weiss-was.de/faq1143/entry169.html)

Scheinbar bist du ein ganz genauer?

 

[Bonobo]

Scheinbar bist du ein ganz genauer?

:-D

Naja, zwei Jahre Korrekturlesen haben bei mir ein Kriegsleiden hinterlassen und mein (zwar nicht abgeschlossenes) Linguistikstudium hat's nicht verbessert ... mich interessieren halt Sprache und Kommunikation -- und dass Letztere funktioniert.

 

[commander]

Aufatmen: Alle Fixes für die MOABugs kann man hier finden. Landon Fuller und sein Team legen dort alle Bugfixes ab, die neuesten enthalten immer auch alle älteren.

Zum installieren benötigt man allerdings Unsanitys APE.

Gruß,

.commander

 

[stk]

Moin,

hmmm, ein wirklich grober Flicken. Lieber Loch oder lieber Haxie? Das ist die Auswahl aus Pest und Cholera. Apple, tu was ...!

Gruß Stefan

 

[Bonobo]

Mh... fuer mich eindeutig lieber Haxie. Ich fahre seit Jahren Haxies ... und bis auf die moeglicherweise auf die Windowshade X (beta) zurueckzufuehrenden SBBODs habe ich keine Probleme gehabt ...