Oud Quicktime-lek leidt ook tot problemen in IE
Gepubliceerd: Woensdag 19 september 2007
Auteur: Wilbert de Vries en Maarten Reijnders
Een lek in Quicktime dat al een jaar bekend is en tot veiligheidsproblemen kan leiden bij Firefox-gebruikers, blijkt ook gevolgen te hebben voor Internet Explorer.
De Israëlische beveiligingsexpert Aviv Raff heeft een proof of concept gemaakt om aan te tonen dat het Quicktime-lek gevaarlijk kan zijn voor IE-gebruikers. Raff heeft een Quicktime-bestand online gezet dat ervoor zorgt dat het voip-programma Skype wordt afgesloten bij een bezoek van de betreffende met de Internet Explorer.
Een cross application scripting (xas) aanval met behulp van Quicktime-filmpjes kan volgens Raff gebruikt worden in een webomgeving waar het gebruik van iframes en script niet is toegestaan, maar gebruikers wel Quicktime-movies mogen embedden (zoals bijvoorbeeld bij Blogger.com). Raff ontraadt het embedden van Quicktime-video's. "Gelukkig was MySpace verstandig genoeg om alle Quicktime-filmpjes van hun pagina's te verwijderen. Ik hoop dat anderen dat voorbeeld volgen",schrijft Raff.
Vorige week publiceerde de ontdekker van het Quicktime-lek, beveiligingsonderzoeker Petko D. Petkov, al een proof of concept die gebruikers van Firefox treft. Volgens Petkov stelt het lek een aanvaller in staat om kwaadaardige software op de pc van een slachtoffer te plaatsen. Mozilla kondigde destijds aan dat het samen met Apple naar een oplossing voor het beveiligingsprobleem zoekt.
Bron: Techworld
