QuickTime-Lücke ermöglicht Geldklau

publiziert: Montag, 18. Feb 2008 / 18:39 Uhr

auf facebook teilen

Washington - Die Möglichkeit, durch eine Sicherheitslücke in QuickTime Linden Dollars im Online-Spiel Second Life zu stehlen, haben zwei Sicherheitsexperten auf der Hacker-Konferenz ShmooCon demonstriert.

Second Life erlaubt es, externe Video-Inhalte über QuickTime einzubinden.

3 Meldungen im Zusammenhang

Weiterführende Links zur Meldung:

Vorführung von Charlie Miller
Independent Security Evaluators.
Zur Vorführung

Exploit des QuickTime-Fehlers.

Mehr Informationen

Zur Hackerkonferenz
ShmooCon is an annual East coast hacker convention hell-bent on offering three days of an interesting atmosphere for demonstrating technology exploitation.
Mehr Informationen

Die Vorführung von Charlie Miller von Independent Security Evaluators und Dino Dai Zovi ist insofern von Bedeutung, da virtuelle Linden Dollars einen realen Geld-Gegenwert repräsentieren.

Es ist die Kombination zweier Faktoren, durch den Miller und Zovi den virtuellen Diebstahl bewerkstelligen können. Second Life erlaubt es, externe Video-Inhalte über QuickTime einzubinden und diese ständig, auch ohne Nutzerinteraktion, laufen zu lassen. Das ist ein Sicherheitsrisiko, wie die Experten nun bewiesen haben - zumindest, wenn QuickTime seinerseits eine geeignete Sicherheitslücke bietet. Durch eine solche Lücke, die Angreifer zum Ausführen beliebigen Codes nutzen können, haben Miller und Zovi den Diebstahl von Linden Dollars bewerkstelligt.

Schon vor der Hacker-Konferenz haben die Sicherheitsexperten auf YouTube ein Video eines Experiments veröffentlicht, bei dem sie einem Testavatar zwölf Linden Dollar abnehmen und diesen zum Ausruf «I got hacked» («Ich wurde gehackt») zwingen. Sie haben dazu eine rosa Box auf einem Grundstück platziert, die mit dem entsprechenden QuickTime-Code verbunden ist. Bei der ShmooCon-Demonstration haben Miller und Zovi nun öffentlich gezeigt, dass ein Second-Life-Avatar nur nahe genug an die Box kommen muss, um Opfer des Linden-Dollar-Diebstahls zu werden. Theoretisch könne eine solche Box auch versteckt platziert oder mit den Attributen eines Avatars verbunden werden, warnten die Experten.

275 Linden Dollar je US-Dollar

Da Linden Dollars zu einem Wechselkurs von derzeit etwa 275 Linden Dollar für einen Dollar reales Geld wert sind, sehen die Experten einen Anreiz für Cyberkriminelle, entsprechende Angriffe zu starten. Zum Schutz sollten Nutzer des virtuellen zweiten Lebens Video-Streaming in Second Life deaktivieren oder zumindest ihre Einstellungen so anpassen, dass sie vor dem Abspielen von Video-Inhalten gefragt werden.

Miller und Zovi nutzen laut Angaben auf bei ihrem Exploit den im November 2007 entdeckten QuickTime-Fehler im Umgang mit dem Real Time Streaming Protocol (RTSP), der damals von Secunia-Analysten als «extrem kritisch» eingestuft wurde. Damit zeigt das Beispiel aber auch die von Sicherheitsexperten immer wieder betonte Bedeutung regelmässiger Software-Updates: Die betreffende QuickTime-Lücke wurde laut Apple mit QuickTime 7.3.1 geschlossen.

(ht/pte)

Kommentieren Sie jetzt diese news.ch - Meldung.

Lesen Sie hier mehr zum Thema

Cyber-Kriminelle machen Jagd auf Mac-User

Austin/Mainz - Die auch durch den ... mehr lesen

Den «OSX.RSPlug.a» können sich Mac-User beim Anschauen von Videos auf infizierten Porno-Websites einfangen.

Die Anzahl der E-Mails, die Links zu Schadcode enthielten, ist im August erheblich gestiegen.

YouTube-Videos sollen Empfänger ködern

Laut MessageLabs nutzen die ... mehr lesen

25 Jahre Computervirus - ein unrühmlicher Geburtstag

Wien/München - Der Computer-Virus feiert dieser Tage seinen 25. Geburtstag. 1982 ... mehr lesen

1982 sahen Computerviren noch so aus: Der «Elk Cloner» von Rich Skrenta.

Datenschutz

news.ch geht in Klausur

Digitaler Strukturwandel Nach über 16 Jahren hat sich news.ch entschlossen, den Titel in seiner jetzigen Form einzustellen. Damit endet eine Ära medialer Pionierarbeit. mehr lesen 22

Weitere Meldungen

Private Überwachung mit Apples AirTag.

Android warnt bald vor unerwünschten Trackern

Google hat neue Funktionen für Android angekündigt, die vor unbekannten Bluetooth-Trackern wie Apple AirTags warnen sollen. Die Funktionen werden in diesem Monat für Mobilgeräte mit Android 6.0 und höher ausgerollt. mehr lesen

Datendiebstahl bei IT-Firma XPlain - auch Regierungsdaten gestohlen

Ein unbekannter Hacker oder eine Gruppe von Hackern hat Anfang Juni 2023 sensible Daten des IT-Unternehmens XPlain in der Schweiz gestohlen. Zu den gestohlenen Daten gehören ... mehr lesen

Cybersecurity - Diese Fehler sollten Sie vermeiden

Publinews Cybersecurity ist ein Thema, das für jedes Unternehmen ganz oben auf der Tagesordnung stehen sollte. Die gelebte Praxis sieht in diesem Bereich häufig völlig anders aus. Oft handelt es sich um Anfängerfehler oder es ergeben sich Lücken in der Cybersicherheit aus einem Irrtum heraus. mehr lesen

Google will inaktive Konten löschen

Google hat angekündigt, ab Ende dieses Jahres mit der Löschung von Nutzerkonten zu beginnen, die nicht mehr aktiv sind. Diese Konten sind oft mit veralteten, möglicherweise unsicheren Passwörtern sowie ohne ... mehr lesen

Mehr zum Datenschutz

eGadgets Technologische Fortschritte im Fitnessbereich In den letzten Jahren hat die Fitnessbranche ...

Domain Namen registrieren

Zur Domain Registration erhalten Sie: Weiterleitung auf bestehende Website, E-Mail Weiterleitung, Online Administration, freundlichen Support per Telefon oder E-Mail ...

Domainsuche starten:

Freie Stellen aus den Berufsgruppen Bewachung, Kontrolle, Sicherheit, Testing, Audit, Security, Datenbank Spezialisten, Entwicklung, Netzwerk Spezialisten, Engineers, Software Programmierung
Cyber Security Architect (w/m/d)
Zürich - Cyber Security Architect (w/m/d) Zürich Swiss Life AG Ihr Verantwortungsbereich Aktive Gestaltung... Weiter
Senior Software Tester (m/w/d) 70-100%
Bern - Der IT-Dienstleister mit Sitz in Bern beschäftigt rund 110 Mitarbeitende. Das Kerngeschäft der... Weiter
SAP BW Spezialist (w/m/d)
Zürich - SAP BW Spezialist (w/m/d) Zürich Swiss Life AG Ihr Verantwortungsbereich In dieser Rolle übernehmen... Weiter
Entwickler Produktsysteme, 80-100% (w/m/d)
Zürich - Entwickler Produktsysteme, 80-100% (w/m/d) Zürich Swiss Life AG Ihr Verantwortungsbereich Sie... Weiter
Software Test Engineer 80-100% (m/w/d)
Zürich - Software Test Engineer 80-100% (m/w/d) Zürich Swiss Life AG Ihr Verantwortungsbereich Zusammen mit... Weiter
Software Tester, 40% im Stundenlohn (w,m,d)
Zürichj - Software Tester, 40% im Stundenlohn (w,m,d) Zürich Swiss Life AG Ihr Verantwortungsbereich... Weiter
Software & Integration Developer*in #1865
Mägenwil - BRACK.CH AG BRACK.CH AG Software & Integration Developer*in #1865 Das erwartet dich Neu und... Weiter
Business Analyst (m/w/d)
Lausanne - Business Analyst (m/w/d) 1001 Lausanne Swiss Life Pension Services AG Ihr Verantwortungsbereich... Weiter
Senior Microsoft Entwickler Business Intelligence, 80-100% (w/m/d)
Zürich - Senior Microsoft Entwickler Business Intelligence, 80-100% (w/m/d) Zürich Swiss Life AG Ihr... Weiter
Azure & .NET Developer 80-100% (m/w/d)
Zürich - Azure & .NET Developer 80-100% (m/w/d) Zürich Swiss Life AG Ihr Verantwortungsbereich Als Teil des... Weiter
Über 20'000 weitere freie Stellen aus allen Berufsgruppen und Fachbereichen.

Möchten Sie zu diesen Themen eine eigene
Internetpräsenz aufbauen?

www.evaluators.ch www.independent.swiss www.sicherheitsrisiko.com www.testavatar.net www.vorfuehrung.org www.theoretisch.shop www.attributen.blog www.demonstration.eu www.sicherheitsluecke.li www.moeglichkeit.de www.experiments.at

Registrieren Sie jetzt komfortabel attraktive Domainnamen!


			Heute	Mo	Di
Zürich	11°C	24°C
Basel	11°C	25°C
St. Gallen	9°C	21°C
Bern	10°C	24°C
Luzern	12°C	23°C
Genf	12°C	24°C
Lugano	17°C	25°C

mehr Wetter von über 8 Millionen Orten