David Remahl berichtet von einer Sicherheitslücke in Apples MacOS-X-System 10.4. Demnach lässt sich QuickTime 7 mit einem präparierten Video-Clip, den man unter anderem mit Apples Entwickler-Programm Quartz Composer erzeugt, zum unbemerkten Ausgeben von System-Daten veranlassen.
Quartz Composer erzeugt Composition-Dateien (QTZ-Files), die man wahlweise als Bildschirmschoner nutzen, oder auch als QT-Atoms in .mov-Containern einbinden kann. Sie lassen sich zum Beispiel in einem Web-Browser betrachen oder auch mit dem Präsentationsprogramm Keynote 2 darstellen. Compositions haben Zugriff auf einige "mächtige Funktionen", sogenannte Patches, die hauptsächlich zum Erzeugen grafischer Informationen gedacht sind. Eigentlich sollten diese Patches nur innerhalb ihres eigenen Kontext wirksam sein, etwa nur auf Bestandteile einer Präsentation zugreifen können.
Remahl berichtet jedoch, dass man Patches kombinieren kann, die auf Systeminformationen zugreifen, mit solchen, die Informationen aus dem Internet nachladen, sodass man spionierende .mov-Dateien erzeugen kann. Diese Annahme belegt Remahl mit einem präparierten, aber harmlosen Video-Clip. Wird es von seinem Web-Server auf einen Client-Rechner zum Betrachten gestreamt, landen nicht nur Video-Informationen auf dem Client-Mac, sondern umgekehrt auch System-Daten des abrufenden Mac auf Remahls Server, wenn der angegriffene Rechner anfällig ist.
Remahls Video-Clip liest den ausgeschriebenen und den kurzen User-Namen des Nutzers aus, der gerade am abrufenden Mac eingebucht ist. Prinzipiell können laut Remahl solche Daten auf einen beliebigen Web-Server geleitet werden. Darüber hinaus lassen sich dem Vernehmen nach auf diese Art etwa der Computername, die lokale IP-Adresse oder auch Bonjour-Services im LAN auslesen. Remahls Proof-of-Concept erzeugte in den Tests von heise Security zwar tatsächlich neue Einträge in der angegebenenen Log-Datei, sie stimmten jedoch nicht mit der erwarteten Zeichenfolge überein.
Remahl hat Apple kürzlich informiert, eine Bestätigung der Sicherheitslücke liegt ihm jedoch noch nicht vor. Bis zur Klärung des Sachverhalts kann man entweder das QuickTime-Plugin im Browser deaktivieren oder den QTZ-Support in QuickTime abschalten -- also die Datei QuartzComposer.component aus dem Ordner /System/Library/QuickTime/ entfernen.
