Die QuickTime Sicherheitslücke hat zu viel Verunsicherung auf Seiten der User betroffener Videoschnitt-Software geführt und Hersteller zu Stellungnahmen genötigt. Wir haben über das Problem schon geschrieben, aber wir wollen hier nochmal auf die brennendsten Fragen eingehen (Wie würde ein Angriff über die QuickTime-Sicherheitslücke ablaufen? Was kann ich gegen einen möglichen QuickTime Virus tun?), denn betroffen sind eine Vielzahl von Nutzern verschiedener Programme im Bereich Videoschnitt.
Wie würde ein möglicher Angriff über die QuickTime-Sicherheitslücke ablaufen?
Es gibt einige Verwirrung darüber, wie ein möglicher Angriff ablaufen würde, welcher die QuickTime-Sicherheitslücke ausnützen würde: Würde er über einen Codec laufen? Oder über einen beliebiges QuickTime MOV? Oder muss das QT-File gerade abgespielt werden? Wird der QT Player angegriffen? Oder eine QT File das gerade im Browser läuft? Und gilt das für alle Codecs im QT Container?
Dankenswerterweise hat unser Forenmitglied cantsin eine sehr detaillierte Beschreibung darüber angefertigt, was die QuickTime Sicherheitslücke so gefährlich macht und auch eine Anleitung erstellt, was man als Nutzer zur Sicherung seines Systems machen kann. Wir zitieren im folgenden Abschnitt und im nächsten Abschnitt wörtlich aus cantsin´s Beitrag:
- Auf einem Windows-PC ist Quicktime installiert. Quicktime ist nicht nur der Quicktime Player, sondern eine ganze Softwarebibliothek zum Abspielen und Abspeichern diverser Video- und Audioformate.
- Verschiedene Programme (darunter Premiere, After Effects, Avid, Edius, Vegas, Resolve - aber eben auch Webbrowser mit installiertem QT-Plugin) greifen auf die QT-Bibliothek zurück, um bestimmte Video- und Audioformate zu öffnen, abzuspielen und zu speichern. Ohne installiertes QT werden viele dieser Formate nicht einmal erkannt. Welche genau, hängt jeweils von der Software ab. Keines der o.g. Programme liest ProRes ohne QT, Resolve kann nicht einmal Mp4/H.264 ohne QT lesen und schreiben.
- Wenn diese Programme beim Öffnen und Abspielen auf QT zugreifen, übernimmt QT faktisch das Kommando: Tatsächlich spielt nicht Premiere oder Avid, sondern die QT-Bibliothek das entsprechende Format ab. (Deshalb nützt Videoanwendern der Ratschlag, den QT-Player und die QT-Browser-Plugins zu deinstallieren, wenig bis nichts.)
- Videodateien, die von QT abgespielt werden, lassen sich durch ein paar manipulierte Bits so präparieren, dass sie QT beim Öffnen oder Abspielen aus der Bahn werfen. Dabei kommt QT so ins Schleudern, dass es Programmcode ausführt, der in die Videodatei selbst eingeflickt sein kann.
- Dieser Programmcode kann z.B. eine Malware sein, die erst alle auf dem Rechner liegenden .mov-Dateien durchsucht, um den eigenen Schadcode hineinzuflicken und dann anschließend als Erpressungstrojaner Daten auf dem Rechner verschlüsselt. Oder er könnte gleich alle Daten auf der Festplatte löschen. Prinzipiell ist alles denkbar was normaler Code auch bewerkstelligen kann.
- Die Malware hat zwar in der Regel nur Nutzer-, keine Administratorrechte auf dem PC (solange der PC einigermaßen sauber konfiguriert ist) und kann daher nicht das Betriebssystem selbst angreifen. Aber auch dies kann genügen, um viele Daten des Anwenders auszuspionieren, zu löschen oder sonstwie zu manipulieren.
- Der Programmcode in der Videodatei muss nicht komplex oder lang sein, sondern braucht nur aus ein paar Bytes zu bestehen, die den eigentlichen Schadcode aus dem Internet nachladen und ausführen.
Was tun? Sicherheitsratschläge für Anwender von Windows-Videosoftware, die Quicktime verwendet
(im folgenden cantsins Ratschläge, wie man möglichst sicher weiter arbeiten kann)
1.) Quicktime probeweise deinstallieren und sehen, was mit der eingesetzten Software noch funktioniert und was nicht. Hat man einen Workflow, in dem Quicktime verzichtbar ist (z.B. wenn man CinemaDNG importiert und DnxHR im MXF-Container exportiert, und das mp4-Encoding mit einem externen, nicht Quicktime-abhängigen Encoder erledigen kann), ist das die beste Lösung.
2.) Wenn 1.) nicht gangbar ist, Quicktime wieder installieren, ohne Browser-Plugin, und die Programmdatei der Player-App anschließend löschen.
3.) Downloads von .mov-Dateien (ggfs. auch anderen Dateitypen, die im NLE per Quicktime abgespielt werden) grundsätzlich vermeiden. Dazu zählen z.B. gratis herunterladbare Kamera-Testaufnahmen, herunterladbare Grain- und Effekt-Overlays, im Zweifelsfall auch stock footage (z.B. von archive.org) in den riskanten Dateiformaten.
4.) Ein Virenschutzprogramm auf dem eigenen Rechner installieren, das die Quicktime-Lücke erkennt (z.Zt. Trend Micro). Alle momentan gespeicherten Videodateien auf dem Rechner scannen.
5.) .mov-Dateien (und andere per Quicktime abgespielte Videoformate) aus eigenen Kameras sind prinzipiell unproblematisch. Die Speicherkarten sollten aber nicht auf Drittrechnern geöffnet/überspielt worden sein, sondern möglichst direkt von der Kamera auf den Schnittrechner gehen. Alternativ: Hardware-Schreibschutz der Speicherkarten direkt nach Entnahme aus der Kamera aktivieren. Ansonsten: Speicherkarten nach dem Öffnen am Rechner einmal durch den Virus-Scanner laufen lassen.
6.) Wer viel mit von Dritten angelieferten Dateien arbeitet: Dateien erst auf separatem Offline-Rechner öffnen, auf Malware-Befall mit geeignetem Scanner scannen, ggfs. in ungefährdete Formate (z.B. DNxHD im MXF-Container) umcodieren. Wenn man sowieso immer umcodiert, bietet sich ein alternatives Betriebssystem wie Linux (mit ffmpeg) oder Mac OS X an.
7.) Schnittrechner möglichst offline lassen (bzw. so wenig wie möglich online gehen - z.B. nur dann, wenn Adobe CC die Lizenzüberprüfung anfragt).
Ist die QuickTime Sicherheitslücke von Apple doch schon gestopft?
Anscheinend hat Apple die QuickTime-Sicherheitslücke im letzten QT-Update auf Version 7.7.9 vom Januar gestopft - allerdings ist diese Version nur für Windows 7 und Vista erhältlich. Benutzer älterer oder neuerer Versionen wie etwa Windows 8/10 bleiben ungeschützt - hier ist die Version bei 7.7.7 stehengeblieben.
Wörtlich heißt es in der Beschreibung des 7.7.9 Updates:
"Auswirkung: Das Anzeigen einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: In QuickTime gab es mehrere Speicherfehler. Diese Probleme wurden durch eine verbesserte Speicherverwaltung behoben."
Ein User hat allerdings berichtet, dass sich QuickTime auch unter Windows 8.1 auf die Version 7.7.9 updaten ließ - es lohnt sich also ein Updateversuch auch unter offiziell nicht unterstützten Windowsversionen.
Die Stellungnahmen der Schnittprogramm-Hersteller bezüglich QuickTime
Adobe hat vor wenigen Tagen bekanntgegeben, daß eine Deinstallation von QuickTime Probleme für Creative Cloud User nach sich ziehen könnte (z.B. bei der Arbeit mit ProRes Files; beim Import/Export von Animationen und beim DNxHD/HR Export).
Und dass Adobe deshalb an einer nativen Dekodierung von Quicktime spezifischen Codecs (allen voran natürlich ProRes) arbeitet - allerdings gibt es dafür noch keinen Zeitplan und die Entwicklung wird so oder so einige Zeit in Anspruch nehmen. Ironischerweise rät ein Sicherheitsexperte dazu, Adobes CC-Programme vorerst nur noch unter OS-X zu verwenden.
Und auch Grass Valley (EDIUS) hat sich inzwischen zum QuickTime-Problem geäußert:
EDIUS uses QuickTime components for the handling of certain image types and formats. Functionality will be lost if QuickTime is uninstalled, and it is summarized as follows:
Still Image File Formats: BMP (export only); JPEG; JPEG2000; TIFF; PSD; PNG; SGI; GIF; GIF89a; JFIF; Mac PICT; sgiRGB.
MOV Video File Formats: DNxHD; HQ/HQX (import only); DV; DVCPRO; HDV; ProRes.
Audio: MOV (other than LPCM and AAC).
Grass Valley engineering will be assessing how best to update EDIUS to ensure that the full feature set is available without any requirement to install QuickTime for Windows. We will advise as soon as possible a timescale for when we think this can be implemented.
Avid beschreibt hier ausführlich die Probleme, die nach einer QuickTime Deinstallation bei der Arbeit mit Media Composer auftreten können.
(Danke an Stephan für den Hinweis und cantsin für die Tipps)
