Apple geeft Windows-gebruikers een nieuw securityprobleem door zijn Quicktime-software niet langer te onderhouden. Vorige maand is dit al medegedeeld aan Trend Micro, die openstaande gaten heeft ontdekt.
Een openlijke mededeling ontbreekt nog wat betreft het einde van Quicktime voor Windows. De Amerikaanse zakenkrant The Wall Street Journal heeft echter wel een bevestiging van Apple gekregen. De Windows-uitvoering van multimediasoftware Quicktime wordt niet langer ondersteund en krijgt dus geen updates meer, meldt de krant.
Zelf deïnstalleren
Apple heeft al instructies online gezet voor gebruikers om de software te deïnstalleren. Dit komt neer op het reguliere deïnstallatieproces voor applicaties op Windows. Het lijkt er dus op dat gebruikers en beheerders zelf de verantwoordelijkheid krijgen toebedeeld om de verlaten software te verwijderen. Securityleverancier Trend Micro drukt gebruikers op het hart om Quicktime te verwijderen van hun Windows-pc’s.
Het bedrijf heeft namelijk eind vorig jaar al kwetsbaarheden ontdekt in Quicktime en die in november in vertrouwen aangemeld bij Apple. Vervolgens heeft Apple in maart aan Trend Micro laten weten dat Quicktime voor Windows wordt ‘afgeschaft’ (deprecated). In die mededeling gaf de Mac-maker ook aan dat het verwijderinstructies voor eindgebruikers zou publiceren.
Kwetsbaarheden openbaar
Ondertussen zijn de twee ontdekte kwetsbaarheden nu geopenbaard. Dit is volgens het beleid voor responsible disclosure dat het bugpremie-programma ZDI (Zero Day Initiative) hanteert. ZDI is van origine een beveiligingsinitiatief van TippingPoint, dat na HP’s overname van 3Com in 2010 onlangs weer is doorverkocht: aan Trend Micro. Beide kwetsbaarheden in Quicktime geven kwaadwillenden de mogelijkheid om eigen softwarecode op afstand uit te voeren op Windows-systemen waar de kwetsbare Apple-software op draait.
Deze gaten gaan dus geen patches meer krijgen en blijven dus voor altijd open staan. ‘In dit opzicht voegt Quicktime voor Windows zich nu bij Windows XP en Java 6 als software die niet langer wordt bijgewerkt om kwetsbaarheden te fixen”, schrijft Christopher Budd, global threat communications manager bij Trend Micro, in de oproep tot deïnstallatie. Hij spreekt van een voortaan alleen maar toenemend risico, doordat er naar verwachting meer en meer kwetsbaarheden kunnen en zullen worden gevonden.
Verwarring, stilte en download
Het Amerikaanse overheidsorgaan voor ict-beveiliging US-Cert heeft het deïnstallatie-advies van Trend Micro al bekrachtigd middels een eigen waarschuwing. Daarbij beriep het zich nog op de mededeling van Trend Micro. Apple had namelijk nog geen officiële mededeling gedaan over de status van Quicktime voor Windows. The Wall Street Journal heeft nu dus wel bevestiging gekregen.
De Windows-software, die voor het laatst in januari een update heeft gekregen, staat ondertussen nog wel beschikbaar als download op Apple’s site. Daarbij lijkt de Nederlandse download een subversie achter te lopen (7.7.8) op de Amerikaanse download (7.7.9). Beide downloads verwijzen echter naar hetzelfde updatebulletin, voor de meest actuele versie 7.7.9 die ook de daadwerkelijke download is. Quicktime is in het verleden meegekomen met iPod- en iPhone-beheersoftware iTunes, maar sinds iTunes 10.5 is Quicktime niet meer nodig voor het afspelen van mediamateriaal.