Quicktime-Plugin beschert Firefox eine kritische Sicherheitslücke

Mit präparierten Mediendateien im Apple Quicktime-Format können Angreifer beliebigen Javascript-Code im Firefox-Browser ausführen und Zugriff auf den Rechner des Surfers erhalten.

Der Sicherheitsexperte Petko Petkov weist in seinem Blog auf diese Schwachstelle hin. Das Risiko bestehe, wenn Mozilla Firefox als Standard-Browser eingerichtet und das Quicktime-Plugin oder eine Quicktime-Alternative installiert sei.

Betroffen sind Dateien im .qtl-Format – Dateien mit dieser Endung verweisen auf Mediendateien, die von Apples Videosoftware im Browser abgespielt werden können (also beispielsweise in den Formaten MOV, MPEG oder MP3). Zusätzlich enthalten die .qtl-Files oft noch Metadaten über die Art der Wiedergabe, die vom Quicktime-Player ausgelesen werden. Über den Parameter "qtnext" innerhalb der Metainformationen kann ein beliebiger Javascript-Code in die .qtl-Datei eingepflegt und zur Ausführung gebracht werden.

Nach Petkovs Recherchen ist so auch ein Zugriff auf lokale Ressourcen des Rechners über die Firefox-Umgebung hinaus möglich – besonders dann, wenn der Anwender mit Administratorrechten unterwegs ist, wenn er sich die Quicktime-Datei einfängt. Einen Schutz gegen das Angriffsszenario zeigt Petkov nicht auf. Anwenderberichten zufolge soll aber das Firefox-Plugin NoScript helfen - zumindest um die von Petkov als Beispiel bereitgestellten präparierten Quicktime-Dateien unschädlich zu machen. Wer ganz sicher gehen will, installiert sich einen alternativen Standard-Webbrowser und entfernt Quicktime von seinem System, bis Apple eine aktualisierte Version veröffentlicht hat. (ComputerWoche/mha)