Trend Micro und US-CERT warnen vor Zero-Day-Lücken in Quicktime für Windows

Apple hat offenbar den Support für Quicktime für Windows endgültig eingestellt. Das melden zumindest der japanische Sicherheitsanbieter Trend Micro und das US-Computer Emergency Response Team (US-CERT). Beide raten zudem zur sofortigen Deinstallation der Software, da inzwischen zwei Zero-Day-Lücken in Quicktime für Windows bekannt sind, für die Apple keine Patches bereitstellen wird.

Die Sicherheitslücken hat gestern die Trend-Micro-Tochter Zero Day Initiative (ZDI) öffentlich gemacht. Sie erlauben demnach das Einschleusen und Ausführen von Schadcode aus der Ferne. Ein Angreifer muss sein Opfer jedoch dazu verleiten, eine schädliche Datei zu öffnen oder eine speziell präparierte Website zu besuchen. Im zehnstufigen Common Vulnerability Scoring System (CVSS) sind die Fehler mit 6,8 bewertet.

Apple weiß laut ZDI schon seit 11. November 2015 von den beiden Anfälligkeiten. Bei einem Telefonat am 9. März 2016 teilte der iPhone-Hersteller schließlich mit, Quicktime für Windows sei „überholt“ und man werde Nutzern eine Anleitung zur Deinstallation von Quicktime für Windows zur Verfügung stellen. ZDI teilte Apple daraufhin mit, es werde die Lücken gemäß den eigenen Regeln ab dem 13. April offenlegen. Apple habe eine Woche später einen Link zu der Anleitung übermittelt.

„Uns sind keine aktiven Angriffe auf die Anfälligkeiten bekannt“, schreibt Trend-Micro-Sprecher Christopher Budd nun in einem Blogeintrag. „Aber die einzige Möglichkeit, Windows-Systeme vor möglichen Angriffen auf diese oder andere Schwachstellen in Apple Quicktime zu schützen, ist, es jetzt zu deinstallieren.“ Budd stellt Quicktime zudem auf eine Stufe mit Windows XP und Oracle Java 6, die beide noch weit verbreitet sind, obwohl sie nicht mehr unterstützt werden.

ANZEIGE

Die Cloud forciert Innovationen

Ohne Cloud-Technologie sähe der Alltag heute ganz anders aus. Dropbox, Facebook, Google und Musikdienste gäbe es nicht. Erst Cloud-Technologien haben diese Services ermöglicht und treiben heute Innovationen schneller denn je voran.

Dass Apple der Windows-Version von Quicktime nur noch eine geringe Bedeutung beimisst, ist nicht neu. Offiziell unterstützt die Multimedia-Software nämlich nur Vista und Windows 7 – nicht aber neuen OS-Versionen Windows 8 und 10.

Die aktuelle Quicktime-Version 7.7.9 ist seit Anfang Januar erhältlich. Das Update stopft 9 Sicherheitslöcher. Zudem entfernt es das Quicktime-Browser-Plug-in, das sich aber durch eine erneute benutzerdefinierte Installation wiederherstellen lässt. Ohne Plug-in sind die jetzt bekannt gewordenen Zero-Day-Lücken allerdings nicht mehr über den Browser ausnutzbar – sogenannte Drive-by-Downloads, also das Einschleusen von Schadsoftware im Hintergrund beim Besuch einer gefährlichen Website, funktionieren nicht mehr.

Apple selbst bietet Quicktime für Windows weiterhin zum Download an. Zudem hat das Unternehmen seine Nutzer bisher nicht offiziell über das Support-Ende informiert. Bei einer Suche nach Quicktime findet sich das auf den 11. März datierte Support-Dokument für die Deinstallation von Quicktime 7 für Windows erst an drittletzter Stelle in der Ergebnisliste.

[mit Material von Chris Duckett, ZDNet.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

NiPoGi AM06 PRO Mini PC: Perfekte Kombination aus Leistung, Flexibilität und Portabilität

Kostengünstiger Mini-PC mit AMD Ryzen 7 5825U-Prozessor, 16 GB Arbeitsspeicher (RAM) und 512 GB SSD.

5 Stunden ago

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

3 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

3 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

4 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

4 Tagen ago