Apple schließt Lücken in Quicktime für Windows offenbar nicht mehr

Wie Trend Micro und das US-Computer Emergency Response Team (US-CERT) übereinstimmend berichten, hat Apple den Support für Quicktime für Windows offenbar klammheimlich eingestellt. Beide empfehlen Nutzern die Software umgehend von ihren Rechnern zu entfernen. Aktueller Anlass der Empfehlung ist, das mittlerweile zwei Zero-Day-Lücken in Quicktime für Windows bekannt sind, für die es von Apple keine Patches geben wird.

Die Trend Micro Zero Day Initiative (ZDI) hat die Lücken gestern öffentlich gemacht. Sie erlauben das Einschleusen und Ausführen von Schadcode aus der Ferne. Angreifer müssen ihre Opfer zwar dazu verleiten, eine infizierte Datei zu öffnen oder eine präparierte Website zu besuchen, das ist aber für die meisten Kriminellen inzwischen die leichteste Übung. Beide Sicherheitslücken werden im zehnstufigen Common Vulnerability Scoring System (CVSS) mit 6,8 bewertet.

Über die beiden Anfälligkeiten weiß Apple laut ZDI schon seit 11. November 2015 Bescheid. Bei einem Telefonat am 9. März 2016 habe der Hersteller schließlich mitgeteilt, Quicktime für Windows sei “überholt”. Er werde Nutzern daher eine Anleitung zur Deinstallation von Quicktime für Windows zur Verfügung stellen. ZDI teilte Apple daraufhin mit, es werde die Lücken ab dem 13. April offenlegen. Apple habe eine Woche später einen Link zu der Anleitung übermittelt.

Laut Trend-Micro-Sprecher Christopher Budd ist noch kein Fall bekannt, in dem die Lücken tatsächlich ausgenutzt wurden: “Aber die einzige Möglichkeit, Windows-Systeme vor möglichen Angriffen auf diese oder andere Schwachstellen in Apple Quicktime zu schützen, ist, es jetzt zu deinstallieren.” Budd verglich Quicktime mit Windows XP und Oracle Java 6. Auch diese beiden seien noch weit verbreitet, obwohl sie nicht mehr mit Updates versorgt werden.

Es ist nicht neu, dass Apple der Windows-Version von Quicktime nur noch geringe Bedeutung beimisst. Offiziell unterstützt die Multimedia-Software nur Windows Vista und Windows 7. Die aktuelle Quicktime-Version 7.7.9 ist seit Anfang Januar erhältlich. Das Update schloß neun Schachstellen. Zudem entfernt es das Quicktime-Browser-Plug-in, das sich aber durch eine erneute benutzerdefinierte Installation wiederherstellen lässt. Ohne Plug-in sind die jetzt bekannt gewordenen Zero-Day-Lücken allerdings nicht über den Browser ausnutzbar. Die zur erstinfektion notwenigen Drive-by-Downloads, also das Einschleusen von Schadsoftware im Hintergrund beim Besuch einer Website, funktionieren dann nicht mehr.

Apple stellt Quicktime für Windows allerdings weiterhin zum Download bereit. Zudem hat das Unternehmen Nutzer bisher trotz seiner Ankündigung gegenüber der ZDI nicht offiziell über das Support-Ende unterrichtet. Bei einer Suche nach “Quicktime” auf der Apple-Website findet sich das auf den 11. März datierte Support-Dokument für die Deinstallation von Quicktime 7 für Windows erst an drittletzter Stelle der Trefferliste.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.