Aber um überhaupt ProRes konvertieren (sprich: lesen) zu können, muss auf Deinem Windows-Rechner bereits Quicktime installiert sein. Dann kannst Du ProRes auch gleich in Deinen NLE statt den Konvertierer laden - das Sicherheitsrisiko ist dasselbe.wolfgang hat geschrieben:Also in der Praxis sehe ich da keine Probleme. ProRes zu Cineform transkodiert und die Sache funktioniert in vielen Schnittsystemen problemlos.
wie gesagt, die genze geschichte hat ausgesprochen wenig mit einem einzelnen dekoder oder gar format/container zu tun, sondern mit der konkreten implementierung der basisinfrastruktur. auf der ebene wäre bspw. gstreamer eine offene alternative, was die funktionalität angeht. in der praxis gibt's aber auch damit derart viele probleme, dass es wirklich mehr als blauäugig erscheinen würde, von kommerziellen produkten zu erwarten, dass sie diese alternative nutzen sollten.wolfgang hat geschrieben:In einem gebe ich persönlich dieser Diskussion recht - aber das hat wenig mit Sicherheitslücken zu tun: den alten ProRes Dekoder endlich mal zu ersetzen ist eigentlich überfällig.
du solltest nicht übersehen, dass MPEG4 über weite strecken sehr stark an quicktime angelehnt ist. würde es also wirklich ein problem des formats/containers sein, hätte das noch viel weitreichendere folgen. das ist aber in der praxis mit größter wahrscheinlichkeit nicht der fall. betroffen ist wirklich nur die reale implementation des entsprecheden windows multimedia frameworks, was halt auf grund der gleichlautenden bzw. nicht klar differenzierten namensgebung immer schon für ziemliche verwirrung gesorgt hat.cantsin hat geschrieben:Ab heute muss man also .mov-Dateien unter Total-Quarantäne stellen, wenn man mit Windows arbeitet.
Weder das Löschen der Browser-Quicktime-Komponente, noch der Desktop-Verknüpfungen lösen doch das Problem, denn sobald man eine .mov-Datei, die man nicht selbst erstellt hat, in einen NLE oder auch nur in den Adobe Media Encoder, in After Effects, ins Filmconvert-Standaloneprogramm, in Resolve.... lädt, setzt man seinen Windows-Rechner einem Infektionsrisiko aus."Plan A: Ignorieren muss kein großes Risiko sein, da die Lücke ja in erster Linie über den Browser ausgenutzt wird. Solange der Browser nicht mehr die Quicktime-Komponenten benutzt, dürfte eine Infektion über das Netz schwer fallen. Unmöglich ist eine Infektion dadurch aber sicher nicht. Besonders wenn am Desktop die *.MOV-Dateien noch mit Quicktime verknüpft sind. Daher nicht nur im Browser das PluginPlugin im Glossar erklärt deaktivieren, sondern auch die Desktop-Verknüpfungen auf einen alternativen Player umlenken."
Nein, es ist kein Problem des Formats oder Containers, sondern ein Problem, dass fast alle Videobearbeitungssoftware unter Windows das Quicktime-Framework verwendet, um .mov-Dateien zu laden.mash_gh4 hat geschrieben:du solltest nicht übersehen, dass MPEG4 über weite strecken sehr stark an quicktime angelehnt ist. würde es also wirklich ein problem des formats/containers sein, hätte das noch viel weitreichendere folgen. das ist aber in der praxis mit größter wahrscheinlichkeit nicht der fall.cantsin hat geschrieben:Ab heute muss man also .mov-Dateien unter Total-Quarantäne stellen, wenn man mit Windows arbeitet.
genau! -- da bist mir jetzt zuvorgekommen, während ich das gerade noch ergänzt habe. :)cantsin hat geschrieben:Nein, es ist kein Problem des Formats oder Containers, sondern ein Problem, dass fast alle Videobearbeitungssoftware unter Windows das Quicktime-Framework verwendet, um .mov-Dateien zu laden.
Ich habe natürlich kein Risiko, wenn ich eine .mov-Datei in VLC abspiele (dass eigene Bibliotheken verwendet) - aber sobald ich es in eine Adobe CC-Applikation, in Edius, Vegas, Resolve lade, habe ich das Risiko.
Glücklicherweise sind wir noch nicht soweit - bis jetzt gibt es nur zwei bekannte Sicherheitslücken, und wir wissen noch nicht, ob diese bereits aktiv ausgenutzt werden (bzw. ob bereits Exploits auf dem Malware-Schwarzmarkt angeboten werden). Leider ist so etwas aber oft nur eine Frage von wenigen Tagen. Wenn sich, wie hier geschehen, CERT und Homeland Security einschalten, ist es auf jeden Fall ernst zu nehmen.dienstag_01 hat geschrieben:Habt ihr mal ein Fallbeispiel für eine Infektion über ein Videofile?
Ach, du meinst, bisher gab es noch keine Sicherheitslücken in den diversen media frameworks?!cantsin hat geschrieben:Glücklicherweise sind wir noch nicht soweit - bis jetzt gibt es nur zwei bekannte Sicherheitslücken
Sorry, es geht um bekannte Sicherheitslücken, die aktiv ausgenützt werden können und die gravierend genug sind, um die Betriebssicherheit nicht nur einer bestimmten Software, sondern des gesamten PC zu unterminieren. Hinzu kommt, dass Quicktime auf praktischen allen Windows-Schnittrechnern und auch auf Millionen Consumer-PCs installiert ist und daher ein attraktives Einfallstor für Malwareprogrammierer ist (genau wie zuvor Flash und PDF).dienstag_01 hat geschrieben:Ach, du meinst, bisher gab es noch keine Sicherheitslücken in den diversen media frameworks?!cantsin hat geschrieben:Glücklicherweise sind wir noch nicht soweit - bis jetzt gibt es nur zwei bekannte Sicherheitslücken
Das ist ja nun der größte Quatsch ;)
Sorry, das sagst du.cantsin hat geschrieben:Sorry, es geht um bekannte Sicherheitslücken, die aktiv ausgenützt werden können und die gravierend genug sind, um die Betriebssicherheit nicht nur einer bestimmten Software, sondern des gesamten PC zu unterminieren.
S.o., siehe meine zwei Links. Ja, leider ist das möglich. Lücke Nr.1: "The specific flaw exists within the moov atom. By specifying an invalid value for a field within the moov atom, an attacker can write data outside of an allocated heap buffer. An attacker could leverage this to execute arbitrary code under the context of the QuickTime player." Lücke Nr. 2: "The specific flaw exists within atom processing. By providing an invalid index, an attacker can write data outside of an allocated heap buffer. An attacker could leverage this to execute arbitrary code under the context of the QuickTime player."dienstag_01 hat geschrieben: Ich habe bis jetzt nur von zwei Sicherheitslücken gelesen, aber nichts darüber, was genau sie betreffen und ob es wirklich möglich ist, Schadcode über ein Mov File aus einer Videoanwendung heraus zu installieren.
Aber vielleicht weisst du da mehr.
Nein, es sind nur die Anwender fein raus, die in ihr NLE niemals Videodateien importieren. Oh wait ...DV_Chris hat geschrieben:Natürlich sind die Anwender fein raus, deren NLE nicht am Netz hängen muss ;-)
Deine Kunden liefern manipulierte ProRes Files an? Na dann...kundesbanzler hat geschrieben:Nein, es sind nur die Anwender fein raus, die in ihr NLE niemals Videodateien importieren. Oh wait ...DV_Chris hat geschrieben:Natürlich sind die Anwender fein raus, deren NLE nicht am Netz hängen muss ;-)
Sagen wir mal so: Angesichts des absolut fehlenden Problembewusstseins würde ich bei 90% der Diskussionsteilnehmer hier, dich eingeschlossen, durchaus davon ausgehen, dass sie zumindest potentiell früher oder später verseuchte Dateien ausliefern.DV_Chris hat geschrieben:Deine Kunden liefern manipulierte ProRes Files an? Na dann...
Das hat wahrscheinlich der Händler des Lukaskrankenhaus auch gesagt.DV_Chris hat geschrieben:Ich bin seit weit mehr als einem Jahrzehnt Händler für Schnittplätze, externen Storage usw. Datensicherheit zu gewährleisten ist ein Teil meines Berufs.
Und, kennst du ein Fallbeispiel eines infizierten Systems durch Videos?DV_Chris hat geschrieben:Datensicherheit zu gewährleisten ist ein Teil meines Berufs.
In meinem Kundenkreis seit 1999 kein einziger Fall.dienstag_01 hat geschrieben:Und, kennst du ein Fallbeispiel eines infizierten Systems durch Videos?DV_Chris hat geschrieben:Datensicherheit zu gewährleisten ist ein Teil meines Berufs.
Uiiih, Glück gehabt ;)DV_Chris hat geschrieben:In meinem Kundenkreis seit 1999 kein einziger Fall.
Offenbar haben viele Leute immer noch nicht verstanden, dass es nicht um den Quicktime-Player, sondern um die Quicktime-Abspielbibliotheken geht, die auch in aller möglichen anderen Videosoftware verwendet werden. Aber dieser Thread hier wird langsam sinnlos.patshi hat geschrieben:Quicktime in Windows einfach normal weiterverwenden. Alles andere ist Paranoia. Wer ganz "sicher" will, der benennt einfach die Quicktime Player exe um und fertig.
Na siehste ;)dienstag_01 hat geschrieben: Ich habe übrigens mal die CC2015 auf Windows 8.1 installiert, Premiere meldet nichts, aber After Effects mahnt das fehlen von Quicktime an.
Tja, ich würde mir sofort das Leben nehmen und NIEMALS einen Virenscanner einsetzen ;)Tja, was mach ich denn nun mit meinem Edius 6? Ich habe keine Lust umzusteigen oder Geld für ein Update auszugeben.
Zu 1: Nein. Es sei denn dein Browser nutzt Quicktime auch zum Abspielen von eingebetteten Mov Files. Dann kann auch eine MOV Datei automatisch geöffnet werden, wenn du auf einer unsicheren Webseite bist.Fader8 hat geschrieben:Grundsätzlich 2 Fragen:
1. Wenn man keine .mov Datein runterlädt - ist man dann in "Gefahr"?
2. Gibt es keine Programm die .mov Dateien wie antivirenprogramme checken können?
Es kommt sehr darauf an, wer was mit einem Virus erreichen will. Ein denkbares Szenario wäre, dass sich eine Malware auf dem User-Rechner private MOV-Files infiziert und von dort einen neuen Verbreitungsweg öffnet.DV_Chris hat geschrieben:
Deine Kunden liefern manipulierte ProRes Files an? Na dann...
Naja, es sind nicht nur Familien-Videos von der DSLR, sondern eigentlich muss man jetzt alle .mov-Dateien, die man von Dritten erhält, mit spitzen Fingern anfassen. Das können auch Dateien von einer Filmproduktions- oder Postproduction-Firma seien, deren Rechner infiziert sind. Es könnten Super 8-Scans von einem Dienstleister sein, der Quicktime-Dateien anliefert. Es könnten selbst die eigenen Kameradateien sein, wenn ein Assi das Offloading auf einen verseuchtem Rechner vorgenommen hat. Es reicht ja, dass auf einem infizierten PC eine Malware sitzt, die sich in alle .mov-Dateien schreibt, die sie auf dem Rechner vorfindet.rudi hat geschrieben: Wenn dieser User dann anderen Anwendern seine Mov-Files gibt (denkt mal an mal Familien-Videos von der DSLR) könnten sich sowas abseits von Webseiten verbreiten.
diese art von lücken sind mit virenscanner leider kaum aufzuspüren. dazu müsste der ganze videostrom decodiert und auf seine konformität überprüft werden. wenn man mit einfachem scannen hier etwas erreichen kann, dann vermutlich erst, wenn die lücke im großen stil ausgenutzt wird und in den betreffenden files eine bekannte form von schadcode eingebettet wurde.cantsin hat geschrieben:Man kann nur hoffen, dass es bald Virenscanner geben wird, die Quicktime-Dateien auf Schadcode in den bekannten zwei Exploits prüfen.
Der Fehler liegt im moov atom und ist somit ziemlich leicht scanbar:mash_gh4 hat geschrieben:diese art von lücken sind mit virenscanner leider kaum aufzuspüren. dazu müsste der ganze videostrom decodiert und auf seine konformität überprüft werden.
Quelle: http://zerodayinitiative.com/advisories/ZDI-16-241/The specific flaw exists within the moov atom. By specifying an invalid value for a field within the moov atom, an attacker can write data outside of an allocated heap buffer. An attacker could leverage this to execute arbitrary code under the context of the QuickTime player.