4°C / 11°C 
5°C / 12°C 
6°C / 12°C 
8°C / 12°C 
12°C / 18°C 
QuickTime-Lücke ermöglicht Geldklau
Washington - Die Möglichkeit, durch eine Sicherheitslücke in QuickTime Linden Dollars im Online-Spiel Second Life zu stehlen, haben zwei Sicherheitsexperten auf der Hacker-Konferenz ShmooCon demonstriert.
Second Life erlaubt es, externe Video-Inhalte über QuickTime einzubinden. Vorführung von Charlie Miller
Independent Security Evaluators.
Zur Vorführung
Exploit des QuickTime-Fehlers.
Mehr Informationen
Zur Hackerkonferenz
ShmooCon is an annual East coast hacker convention hell-bent on offering three days of an interesting atmosphere for demonstrating technology exploitation.
Mehr Informationen
Es ist die Kombination zweier Faktoren, durch den Miller und Zovi den virtuellen Diebstahl bewerkstelligen können. Second Life erlaubt es, externe Video-Inhalte über QuickTime einzubinden und diese ständig, auch ohne Nutzerinteraktion, laufen zu lassen. Das ist ein Sicherheitsrisiko, wie die Experten nun bewiesen haben - zumindest, wenn QuickTime seinerseits eine geeignete Sicherheitslücke bietet. Durch eine solche Lücke, die Angreifer zum Ausführen beliebigen Codes nutzen können, haben Miller und Zovi den Diebstahl von Linden Dollars bewerkstelligt.
Schon vor der Hacker-Konferenz haben die Sicherheitsexperten auf YouTube ein Video eines Experiments veröffentlicht, bei dem sie einem Testavatar zwölf Linden Dollar abnehmen und diesen zum Ausruf «I got hacked» («Ich wurde gehackt») zwingen. Sie haben dazu eine rosa Box auf einem Grundstück platziert, die mit dem entsprechenden QuickTime-Code verbunden ist. Bei der ShmooCon-Demonstration haben Miller und Zovi nun öffentlich gezeigt, dass ein Second-Life-Avatar nur nahe genug an die Box kommen muss, um Opfer des Linden-Dollar-Diebstahls zu werden. Theoretisch könne eine solche Box auch versteckt platziert oder mit den Attributen eines Avatars verbunden werden, warnten die Experten.
275 Linden Dollar je US-Dollar
Da Linden Dollars zu einem Wechselkurs von derzeit etwa 275 Linden Dollar für einen Dollar reales Geld wert sind, sehen die Experten einen Anreiz für Cyberkriminelle, entsprechende Angriffe zu starten. Zum Schutz sollten Nutzer des virtuellen zweiten Lebens Video-Streaming in Second Life deaktivieren oder zumindest ihre Einstellungen so anpassen, dass sie vor dem Abspielen von Video-Inhalten gefragt werden.
Miller und Zovi nutzen laut Angaben auf bei ihrem Exploit den im November 2007 entdeckten QuickTime-Fehler im Umgang mit dem Real Time Streaming Protocol (RTSP), der damals von Secunia-Analysten als «extrem kritisch» eingestuft wurde. Damit zeigt das Beispiel aber auch die von Sicherheitsexperten immer wieder betonte Bedeutung regelmässiger Software-Updates: Die betreffende QuickTime-Lücke wurde laut Apple mit QuickTime 7.3.1 geschlossen.
(ht/pte)
-
23:12
Im Notfall helfen können − Deswegen ist der Nothelferkurs so wichtig -
14:52
CBD in Mahlzeiten und Getränken: Worauf sollte man achten? -
14:43
Die Kunst des Loslassens: Leben im Einklang mit dem Wenigen -
00:00
Wie Themenhotels in der Schweiz Ihre Reise unvergesslich gestalten -
22:54
Adaptogene Pflanzen: Natürliche Helfer für Balance und Wohlbefinden -
16:40
Montreux-Festival: Musik wird mit Röntgenlicht gerettet -
20:47
KI in der Kriegsplanung getestet -
19:46
Schweizerische Exportrisikoversicherung erreicht solides Ergebnis im 2023 -
18:06
Konkurse auf Dreijahreshoch -
18:44
Der Schweizerische Gewerbeverband sgv positioniert sich klar gegen die geplante Erhöhung der Lohnprozente - Letzte Meldungen
- Freie Stellen aus den Berufsgruppen Bewachung, Kontrolle, Sicherheit, Testing, Audit, Security, Datenbank Spezialisten, Entwicklung, Netzwerk Spezialisten, Engineers, Software Programmierung
- IT System Engineer (m/f/d)
Kriens - IHRE HERAUSFORDERUNG Im operativen Tagesgeschäft unterstützen Sie unsere Kunden telefonisch oder... Weiter - Java Software Engineer
Mägenwil - Das erwartet dich Im Fokus steht die kontinuierliche Weiterentwicklung von unseren komplett inhouse... Weiter - System Engineer
Mägenwil - Das erwartet dich Du bist verantwortlich für Weiterentwicklung, Installation, Betrieb, Wartung und... Weiter - IT Security Officer
Mägenwil - Das erwartet dich Du wirst für die Planung und das Management des Rollouts von Security Hardware... Weiter - Frontend Software Engineer
Mägenwil - Das erwartet dich Das selbständige Umsetzen von Frontend-Applikationen für unseren komplett inhouse... Weiter - Spezialist Arbeitssicherheit & Brandschutz 60 - 100% (m/w/d)
Langenthal - Die KADI AG, Langenthal gehört zu den führenden Schweizer Herstellern qualitativ hochwertiger... Weiter - Senior Avaloq EntwicklerIn (w/m/d) 80-100%
Zürich - Deine Aufgaben Leitung von IT-Projekten im Bereich Avaloq Kernbankensystem mit Verantwortung für... Weiter - Junior NetzwerktechnikerIn (w/m/d) 80-100%
Zürich - Aufgaben: Inbetriebnahme und bei Bedarf Austausch von Netzwerkgeräten an den Bürostandorten,... Weiter - Network Security Engineer (w/m/d) 80-100%
Zürich - Aufgaben: Erstellen, Weiterentwickeln und Dokumentieren von Konzepten, Architekturen und... Weiter - Chief Information Security Officer
Allschwil - 80 - 100% Ihre Aufgaben Sie sind verantwortlich für die Definition, Umsetzung und kontinuierliche... Weiter - Über 20'000 weitere freie Stellen aus allen Berufsgruppen und Fachbereichen.
Internetpräsenz aufbauen?
www.sicherheitsluecke.ch www.moeglichkeit.swiss www.wechselkurs.com www.kombination.net www.cyberkriminelle.org www.independent.shop www.grundstueck.blog www.theoretisch.eu www.testavatar.li www.evaluators.de www.diebstahls.at
Registrieren Sie jetzt komfortabel attraktive Domainnamen!
 |
|||||
| Heute | Mi | Do | |||
| Zürich | 4°C | 11°C |
|
|
|
| Basel | 5°C | 12°C |
|
|
|
| St. Gallen | 2°C | 9°C |
|
|
|
| Bern | 4°C | 10°C |
|
|
|
| Luzern | 6°C | 12°C |
|
|
|
| Genf | 8°C | 12°C |
|
|
|
| Lugano | 12°C | 18°C |
|
|
|
| mehr Wetter von über 8 Millionen Orten | |||||
- Die Wertvollsten Spieler im Fussball: Aktuelle Top-Stars
- Die verborgenen Taktiken der Fussballmannschaften
- Superfoods für Fussballer: Welche Nahrungsmittel steigern die Ausdauer und Leistung auf dem Feld?
- Jenseits der Top-Clubs: Die Seele des Fussballs in kleinen Vereinen
- So gestalten Sie eine unvergessliche Fussballparty
- Der emotionale Aufstieg: Wie Fans die Siege ihres Teams hautnah erleben
- Lost in Translation: Herausforderungen bei der Übertragung von Fussballbegriffen ins Schweizerdeutsche
- Mehr Fussball-Meldungen
- Firmenwebsite professionell gestalten
- Adaptogene Pflanzen: Natürliche Helfer für Balance und Wohlbefinden
- KI in der Kriegsplanung getestet
- Schweizerische Exportrisikoversicherung erreicht solides Ergebnis im 2023
- Konkurse auf Dreijahreshoch
- Windows 10 vs Windows 11 - diese Features sorgen für echten Mehrwert
- Der Schweizerische Gewerbeverband sgv positioniert sich klar gegen die geplante Erhöhung der Lohnprozente
- Weitere Wirtschaftsmeldungen
- Montreux-Festival: Musik wird mit Röntgenlicht gerettet
- Reparieren statt wegwerfen: So funktioniert die Reparatur von Elektrogeräten
- BMW Vision Neue Klasse X: So sieht der iX3-Nachfolger aus
- Die Kopfhörer für erholsamen Schlaf
- Der Renault 5 kommt zurück - diesmal elektrisch
- Makerspaces: Orte der Kreativität und Innovation
- 13,3% der Erwerbstätigen verwenden bei ihrer Arbeit nie digitale Geräte
- Letzte Meldungen
- BMW Vision Neue Klasse X: So sieht der iX3-Nachfolger aus
- Durchbruch bei der Wasserstoffproduktion
- Uhren für Klimaaktivisten: ID Genève setzt voll auf Nachhaltigkeit
- Revolutionäre Energiespeicher: Superkondensator aus Zement, Wasser und Russ
- «co-operate»: Modell für klimagerechtes Bauen
- Schweizer Finanzplatzakteure entwickeln gemeinsam die Net-Zero Data Public Utility
- Tesla baut neue Mega-Factory in Shanghai
- Letzte Meldungen
- Seminare zum Thema Datenschutz
- Workshop zu Sicherheit und Datenschutz - SIDA
- EU Datenschutzverordnung - DATS
- Ethik & Datenschutz in der Digitalen Transformation - KIED
- Der betriebliche Datenschutzverantwortliche - DATV
- 21. Berner Tagung für Informationssicherheit After the Breach
- ISSS Security Talk: Darknet - Einblick in den digitalen Untergrund“
- Datenschutz, insbesondere Datensicherung
- DSGVO - Datenschutz-Grundverordnung der Europäischen Union
- CDPSE-Vertiefungskurs 2023: Ausbildung zertifizierter Datenschutz-Entwickler für internationales Zertifikat (ISACA)
- CDPSE-Prüfungsvorbereitungskurs 2023: zertifizierter Datenschutz-Entwickler (internationales Zertifikat)
- Weitere Seminare
