Kulturnews für Ihre eigene Website
| |
Montag, 18. Februar 2008 / 18:39:09QuickTime-Lücke ermöglicht GeldklauWashington - Die Möglichkeit, durch eine Sicherheitslücke in QuickTime Linden Dollars im Online-Spiel Second Life zu stehlen, haben zwei Sicherheitsexperten auf der Hacker-Konferenz ShmooCon demonstriert.Die Vorführung von Charlie Miller von Independent Security Evaluators und Dino Dai Zovi ist insofern von Bedeutung, da virtuelle Linden Dollars einen realen Geld-Gegenwert repräsentieren. Es ist die Kombination zweier Faktoren, durch den Miller und Zovi den virtuellen Diebstahl bewerkstelligen können. Second Life erlaubt es, externe Video-Inhalte über QuickTime einzubinden und diese ständig, auch ohne Nutzerinteraktion, laufen zu lassen. Das ist ein Sicherheitsrisiko, wie die Experten nun bewiesen haben - zumindest, wenn QuickTime seinerseits eine geeignete Sicherheitslücke bietet. Durch eine solche Lücke, die Angreifer zum Ausführen beliebigen Codes nutzen können, haben Miller und Zovi den Diebstahl von Linden Dollars bewerkstelligt. Schon vor der Hacker-Konferenz haben die Sicherheitsexperten auf YouTube ein Video eines Experiments veröffentlicht, bei dem sie einem Testavatar zwölf Linden Dollar abnehmen und diesen zum Ausruf «I got hacked» («Ich wurde gehackt») zwingen. Sie haben dazu eine rosa Box auf einem Grundstück platziert, die mit dem entsprechenden QuickTime-Code verbunden ist. Bei der ShmooCon-Demonstration haben Miller und Zovi nun öffentlich gezeigt, dass ein Second-Life-Avatar nur nahe genug an die Box kommen muss, um Opfer des Linden-Dollar-Diebstahls zu werden. Theoretisch könne eine solche Box auch versteckt platziert oder mit den Attributen eines Avatars verbunden werden, warnten die Experten. 275 Linden Dollar je US-Dollar Da Linden Dollars zu einem Wechselkurs von derzeit etwa 275 Linden Dollar für einen Dollar reales Geld wert sind, sehen die Experten einen Anreiz für Cyberkriminelle, entsprechende Angriffe zu starten. Zum Schutz sollten Nutzer des virtuellen zweiten Lebens Video-Streaming in Second Life deaktivieren oder zumindest ihre Einstellungen so anpassen, dass sie vor dem Abspielen von Video-Inhalten gefragt werden. Miller und Zovi nutzen laut Angaben auf bei ihrem Exploit den im November 2007 entdeckten QuickTime-Fehler im Umgang mit dem Real Time Streaming Protocol (RTSP), der damals von Secunia-Analysten als «extrem kritisch» eingestuft wurde. Damit zeigt das Beispiel aber auch die von Sicherheitsexperten immer wieder betonte Bedeutung regelmässiger Software-Updates: Die betreffende QuickTime-Lücke wurde laut Apple mit QuickTime 7.3.1 geschlossen.
ht (Quelle: pte)
Independent Security Evaluators. ShmooCon is an annual East coast hacker convention hell-bent on offering three days of an interesting atmosphere for demonstrating technology exploitation. In Verbindung stehende Artikel: Cyber-Kriminelle machen Jagd auf Mac-User Freitag, 2. November 2007 / 20:17:13 YouTube-Videos sollen Empfänger ködern Freitag, 7. September 2007 / 07:13:08 25 Jahre Computervirus - ein unrühmlicher Geburtstag Dienstag, 17. Juli 2007 / 13:31:29 |
|
.info Domain |
|
|
kulturreport.ch ist ein Projekt der VADIAN.NET AG. Die Meldungen stammen von news.ch, der Schweizerischen Depeschenagentur (SDA) und weiteren Presseagenturen. Diese Nachrichten-Artikel sind nur zum persönlichen Gebrauch bestimmt. Vervielfältigung, Publikation oder Speicherung der Daten in Datenbanken, jegliche kommerzielle Nutzung sowie die Weitergabe an Dritte sind nicht gestattet. Wir liefern auf Anfrage auch vollautomatisiert