Apple-Guru tritt gegen "Month of Apple Bugs" an

16. März 2007, 10:23
8 Postings

Will umgehend Fixes für die täglich veröffentlichten Lücken anbieten - Erneut Lücke in Quicktime aufgetaucht

Eine Art virtueller Zweikampf scheint sich derzeit rund um die Sicherheit von Apples Softwareprodukten zu entwickeln. Während ein nur unter dem Pseudonym LHM bekannter Sicherheitsexperte unlängst den "Month of Apple Bugs" (MoAB) ausgerufen hat, versucht der Apple-Guru Landon Fuller diesem nun aktiv entgegen zu treten, wie CNET berichtet.

Lücken

Im Rahmen des MoAB werden täglich neue Lücken im Zusammenhang mit Mac OS X und Co bekannt gegeben. Fuller will nun ebenfalls täglich Fixes für die diversen Probleme anbieten. Für die beiden ersten bekannt gemachten Bugs - eine schwere Sicherheitslücke im Straming-Protokoll von Quicktime und ein Problem im Media Player VLC - hat er dieses Versprechen bereits eingehalten.

Kooperation

Allerdings ist sich Fuller nicht vollständig sicher, dass er genügend Zeit findet, sich auch tatsächlich um die Bereinigung jeder einzelnen Lücke zu kümmern. Falls es genügend Interesse gebe, wäre aber auch die Einrichtung einer eigenen Mailing-Liste denkbar, um mit mehreren EntwicklerInnen gemeinsam an Lösungen zu arbeiten, so Fuller in seinem Weblog.

Hintergrund

Landon Fuller ist in der Apple-Community kein gänzlich unbekannter: So hat er jahrelang in der BSD Technology Group des Computerherstellers gearbeitet und dort maßgeblich zur Entwicklung von Darwin - des Open Source Kerns von Mac OS X - beigetragen.

Quicktime

Unterdessen wurde im Rahmen des MoAB eine neue Lücke bekannt gegeben, erneut betrifft sie Quicktime. Dieses mal baut man jedoch auf einem bereits bekannten Problem auf, dass im vergangenen Monat zur Verbreitung eines Wurms auf Myspace genutzt wurde. Während bisher nur bekannt war, dass der Bug für Cross-Site-Scripting-Attacken ausgenutzt werden kann, soll er sich auch für Cross-Zone-Scripting-Angriffe ausnutzen lassen. Auf diese Weise soll es auch möglich sein Code auf einen Rechner einzuschmuggeln und zur Ausführung zu bringen.

Zusammenspiel

Der Beispiel-Exploit demonstriert dies im Zusammenspiel mit einer anderen Lücke, im konkreten Fall mit einem Problem in der Microsoft Management Console, die unter aktuellen Windows XP-Versionen aufgrund der Zonenbeschränkungen nicht mehr ausnutzbar sein soll. Im Zusammenspiel mit der Quicktime-Lücke lässt sich dies allerdings umgehen und sehr wohl Code einschmuggeln. (red)

  • Bild nicht mehr verfügbar
Share if you care.