Die QuickTime Sicherheitslücke hat zu viel Verunsicherung auf Seiten der User betroffener Videoschnitt-Software geführt und Hersteller zu Stellungnahmen genötigt. Wir haben über das Problem schon geschrieben, aber wir wollen hier nochmal auf die brennendsten Fragen eingehen (Wie würde ein Angriff über die QuickTime-Sicherheitslücke ablaufen? Was kann ich gegen einen möglichen QuickTime Virus tun?), denn betroffen sind eine Vielzahl von Nutzern verschiedener Programme im Bereich Videoschnitt.
Wie würde ein möglicher Angriff über die QuickTime-Sicherheitslücke ablaufen?
Es gibt einige Verwirrung darüber, wie ein möglicher Angriff ablaufen würde, welcher die QuickTime-Sicherheitslücke ausnützen würde: Würde er über einen Codec laufen? Oder über einen beliebiges QuickTime MOV? Oder muss das QT-File gerade abgespielt werden? Wird der QT Player angegriffen? Oder eine QT File das gerade im Browser läuft? Und gilt das für alle Codecs im QT Container?
Dankenswerterweise hat unser Forenmitglied cantsin eine sehr detaillierte Beschreibung darüber angefertigt, was die QuickTime Sicherheitslücke so gefährlich macht und auch eine Anleitung erstellt, was man als Nutzer zur Sicherung seines Systems machen kann. Wir zitieren im folgenden Abschnitt und im nächsten Abschnitt wörtlich aus cantsin´s Beitrag:
- Auf einem Windows-PC ist Quicktime installiert. Quicktime ist nicht nur der Quicktime Player, sondern eine ganze Softwarebibliothek zum Abspielen und Abspeichern diverser Video- und Audioformate.
- Verschiedene Programme (darunter Premiere, After Effects, Avid, Edius, Vegas, Resolve - aber eben auch Webbrowser mit installiertem QT-Plugin) greifen auf die QT-Bibliothek zurück, um bestimmte Video- und Audioformate zu öffnen, abzuspielen und zu speichern. Ohne installiertes QT werden viele dieser Formate nicht einmal erkannt. Welche genau, hängt jeweils von der Software ab. Keines der o.g. Programme liest ProRes ohne QT, Resolve kann nicht einmal Mp4/H.264 ohne QT lesen und schreiben.
- Wenn diese Programme beim Öffnen und Abspielen auf QT zugreifen, übernimmt QT faktisch das Kommando: Tatsächlich spielt nicht Premiere oder Avid, sondern die QT-Bibliothek das entsprechende Format ab. (Deshalb nützt Videoanwendern der Ratschlag, den QT-Player und die QT-Browser-Plugins zu deinstallieren, wenig bis nichts.)
- Videodateien, die von QT abgespielt werden, lassen sich durch ein paar manipulierte Bits so präparieren, dass sie QT beim Öffnen oder Abspielen aus der Bahn werfen. Dabei kommt QT so ins Schleudern, dass es Programmcode ausführt, der in die Videodatei selbst eingeflickt sein kann.
- Dieser Programmcode kann z.B. eine Malware sein, die erst alle auf dem Rechner liegenden .mov-Dateien durchsucht, um den eigenen Schadcode hineinzuflicken und dann anschließend als Erpressungstrojaner Daten auf dem Rechner verschlüsselt. Oder er könnte gleich alle Daten auf der Festplatte löschen. Prinzipiell ist alles denkbar was normaler Code auch bewerkstelligen kann.
- Die Malware hat zwar in der Regel nur Nutzer-, keine Administratorrechte auf dem PC (solange der PC einigermaßen sauber konfiguriert ist) und kann daher nicht das Betriebssystem selbst angreifen. Aber auch dies kann genügen, um viele Daten des Anwenders auszuspionieren, zu löschen oder sonstwie zu manipulieren.
- Der Programmcode in der Videodatei muss nicht komplex oder lang sein, sondern braucht nur aus ein paar Bytes zu bestehen, die den eigentlichen Schadcode aus dem Internet nachladen und ausführen.
