Erste Hilfe bei Quicktime Sicherheitslücke

Unsere Kollegen von Slashcam haben sich dankenswerterweise die Mühe gemacht und sind auf die brennendsten Fragen zur Quicktime Sicherheitslücke eingegangen. Ein Auszug.

Wie würde ein möglicher Angriff über die QuickTime-Sicherheitslücke ablaufen?

(…) Verschiedene Programme (darunter Premiere, After Effects, Avid, Edius, Vegas, Resolve – aber eben auch Webbrowser mit installiertem QT-Plugin) greifen auf die QT-Bibliothek zurück, um bestimmte Video- und Audioformate zu öffnen, abzuspielen und zu speichern. Ohne installiertes QT werden viele dieser Formate nicht einmal erkannt. Welche genau, hängt jeweils von der Software ab.

Keines dieser Programme liest ProRes ohne QT, Resolve kann nicht einmal Mp4/H.264 ohne QT lesen und schreiben. Wenn diese Programme beim Öffnen und Abspielen auf QT zugreifen, übernimmt QT faktisch das Kommando: Tatsächlich spielt nicht Premiere oder Avid, sondern die QT-Bibliothek das entsprechende Format erklärt ab.

Videodateien, die von QT abgespielt werden, lassen sich durch ein paar manipulierte Bits so präparieren, dass sie QT beim Öffnen oder Abspielen aus der Bahn werfen. Dabei kommt QT so ins Schleudern, dass es Programmcode ausführt, der in die Videodatei selbst eingeflickt sein kann. Dieser Programmcode kann z. B. eine Malware sein, die erst alle auf dem Rechner liegenden .mov-Dateien durchsucht, um den eigenen Schadcode hineinzuflicken und dann anschließend als Erpressungstrojaner Daten auf dem Rechner verschlüsselt. (…)

Was tun? Sicherheitsratschläge für Anwender von Windows-Videosoftware, die Quicktime verwendet

  1. Quicktime probeweise deinstallieren und sehen, was mit der eingesetzten Software noch funktioniert und was nicht. Hat man einen Workflow, in dem Quicktime verzichtbar ist (z. B. wenn man CinemaDNG importiert und DnxHR im MXF-Container exportiert, und das mp4-Encoding mit einem externen, nicht Quicktime-abhängigen Encoder erledigen kann), ist das die beste Lösung.
  2. Wenn 1.) nicht gangbar ist, Quicktime wieder installieren, ohne Browser-Plugin, und die Programmdatei der Player-App anschließend löschen.
  3. Downloads von .mov-Dateien (ggfs. auch anderen Dateitypen, die im NLE per Quicktime abgespielt werden) grundsätzlich vermeiden. Dazu zählen z. B. gratis herunterladbare Kamera-Testaufnahmen, herunterladbare Grain- und Effekt-Overlays, im Zweifelsfall auch stock footage (z. B. von archive.org) in den riskanten Dateiformaten.
  4. Ein Virenschutzprogramm auf dem eigenen Rechner installieren, das die Quicktime-Lücke erkennt (z. Zt. Trend Micro). Alle momentan gespeicherten Videodateien auf dem Rechner scannen.
  5. .mov-Dateien (und andere per Quicktime abgespielte Videoformate) aus eigenen Kameras sind prinzipiell unproblematisch. Die Speicherkarten sollten aber nicht auf Drittrechnern geöffnet/überspielt worden sein, sondern möglichst direkt von der Kamera auf den Schnittrechner gehen. Alternativ: Hardware-Schreibschutz der Speicherkarten direkt nach Entnahme aus der Kamera aktivieren. Ansonsten: Speicherkarten nach dem Öffnen am Rechner einmal durch den Virus-Scanner laufen lassen.
  6. Wer viel mit von Dritten angelieferten Dateien arbeitet: Dateien erst auf separatem Offline-Rechner öffnen, auf Malware-Befall mit geeignetem Scanner scannen, ggfs. in ungefährdete Formate (z.B. DNxHDDNxHD im Glossar erklärt im MXF-Container) umcodieren. Wenn man sowieso immer umcodiert, bietet sich ein alternatives Betriebssystem wie Linux (mit ffmpeg) oder Mac OS X an.
  7. Schnittrechner möglichst offline lassen (bzw. so wenig wie möglich online gehen – z.B. nur dann, wenn Adobe CC die Lizenzüberprüfung anfragt).

Zum vollständigen Artikel auf www.slashcam.de

Kommentar schreiben

Please enter your comment!
Please enter your name here

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.