QuickTime-lek uitgebuit in Firefox (en misschien andere browsers)

In QuickTime, de mediaspeler van Apple, zit een ernstig lek dat kan worden geëxploiteerd via Firefox. De kwetsbaarheid is een jaar geleden al gemeld aan Apple door beveiligingsonderzoeker Petko D. Petkov, maar het bedrijf heeft deze waarschuwing toen naast zich neergelegd.

Kwaadwillenden zouden internetters kunnen laten klikken op speciaal geprepareerde mediabestanden (audio en video), Firefox starten en schadelijke code uitvoeren op een pc. Petkov meldt dat ook Internet Explorer 6 kwetsbaar is voor een aanval via dit lek in QuickTime, maar dat de impact minder groot is in dat geval. Of andere browsers misbruikt kunnen worden is nog onduidelijk.

U bent in ieder geval kwetsbaar voor dit lek als u Windows XP heeft (onder Vista schijnt het niet te werken), QuickTime heeft geïnstalleerd en Firefox als standaardbrowser heeft ingesteld.

Er zijn nog geen gevallen bekend waarbij dit lek actief uitgebuit wordt, maar om het zekere voor het onzekere te nemen lijkt het de beste oplossing om voorlopig QuickTime te deïnstalleren (ook mensen die iTunes gebruiken hebben QuickTime op hun pc staan trouwens). Of wees voorzichtig met het klikken op medialinkjes uit onbekende bron op internet of in e-mail.

Mozilla onderzoekt momenteel hoe het de kwetsbaarheid voor het QuickTime-lek kan verhelpen in Firefox en werkt daarbij samen met Apple. Een oplossing wordt spoedig verwacht.

Update Het lek is binnen een week gedicht met de uitgave van Firefox 2.0.0.7

Mozilla over het lek

Melding van het lek door P.D. Petkov