Information und Bildungsarbeit von und für die SAP-Community

QuickTime für Windows verwundbar: Was geht das Firmen an?

Mitte April wurden zwei Sicherheitslücken in Apples QuickTime für Windows veröffentlicht. Entdeckt wurden sie schon Ende 2015, aber weil sie nicht bekannt wurden, hatte Apple Zeit zu reagieren. Was hier„abkündigen“ hieß, hat Auswirkungen...
Raimund Genes, Trend Micro
4. Mai 2016
Security
avatar

Die offizielle Empfehlung Apples lautete, QuickTime einfach zu deinstallieren. Dank HTML 5 und Videounterstützung direkt in Webbrowsern trifft dies den „normalen Benutzer“ nicht wirklich.

Damit wäre diese Geschichte ein klassisches Consumer-Thema. Es gibt jedoch noch eine andere Facette an QuickTime: ProRes nämlich.

Dabei handelt es sich um einen von Apple entwickelten Videocodec für den professionellen Film- und Videobereich. Viele Hollywood-Blockbuster werden auf Kameras gedreht, die natives ProRes als „Filmformat“ nutzen.

Während die ProRes-Codecs unter Mac OS X mitgeliefert werden, war der einzige legale Weg unter Windows die Installation von QuickTime. Was besonders für Schnittprogramme, Farbkorrektur, 3D und Visual Effects gilt.

Mit der QuickTime-Abkündigung hängen ganze Produktions-Workflows auf einmal „in der Luft“. Ein Zustand, der im professionellen Umfeld und IT-Betrieb weitverbreitet ist.

Abkündigung bzw. Support-Ende von Software ist ein Problem, mit dem man sich bei Industriesteuerungen schon fast täglich befassen muss. Bei manchen Industriekomponenten mit einer geplanten Lebensdauer von 20 Jahren oder mehr darf es z. B. nicht verwundern, dass dort häufig noch Windows XP anzutreffen ist.

Teilweise findet sich sogar noch MS-DOS!

Die Option eines schellen Updates gibt es hier nicht. Einerseits, weil damit die Gewährleistung der Funktionalität des Systems nicht mehr garantiert werden kann. Andererseits aber auch aus ganz banalen Gründen wie Hardwareabhängigkeiten.

Es muss auch gar nicht das komplette Support-Ende einer Software sein. Schon das rechtzeitige Einspielen von kritischen Patches ist problematisch. Gerade viele geschäftskritische Systeme haben definierte Wartungsfenster.

Selbst wenn der Patch verfügbar ist und eingespielt werden könnte, kann es bis zu einem halben Jahr (oder länger!) bis zum nächsten Wartungsfenster dauern. In dieser Zeit hängen die Systeme „in der Luft“ und sind verwundbar.

Zu einem professionellen IT-Betrieb gehört mehr als nur reines Patch-Management. Wenn man nur Systeme betreibt, die man jederzeit und ohne Nebenwirkungen patchen kann, hat man es sehr einfach – erfahrungsgemäß gibt es solche Umgebungen außerhalb von Präsentations­folien aber nicht.

Man muss sich also auch Gedanken um den Schutz von Systemen machen, die man nicht zeitnah oder nicht mehr patchen kann.

Bei nicht ans Netzwerk angeschlossenen Systemen kommt man bei einer Risikoanalyse vielleicht noch mit dem Argument durch, dass nicht gepatchte Schwachstellen nicht ausgenutzt werden können. Heutzutage sind aber fast alle geschäftskritischen Systeme vernetzt!

Eine andere Möglichkeit ist das virtuelle Patchen (Virtual Shielding), wie man es z. B. in Trend Micros Deep Security findet. Dabei werden die Sicherheitslücken ohne Eingriff ins eigentliche System so abgeschirmt, dass diese z. B. über das Netzwerk nicht mehr ausgenutzt werden können.

Das System an sich ist nicht gepatcht und damit u. U. verwundbar – die Verwundbarkeit kann aber nicht ausgenutzt werden.

Dies sollte nicht als „Freifahrtschein“ verstanden werden, um Systeme nie wieder zu patchen. Allerdings erlauben solche Technologien den Schutz der Systeme bis zum Wartungsfenster.

Anders bei Systemen, für die der Hersteller keine Patches mehr bereitstellt. Solche Technologien sind häufig die einzige Möglichkeit, Systeme überhaupt noch sicher zu betreiben. Ein professioneller Betrieb von IT muss in die Zukunft schauen.

Egal, ob es sich um geschäftskritische Systeme, Industrieanlagen oder „nur“ Workflows im Medienbereich handelt. Es reicht nicht, sich Gedanken zu machen, wie man Systeme heute sicher betreiben kann.

Auch den künftigen Betrieb, eventuell ohne Hersteller-Support, gilt es zu betrachten. Die dazu nötigen Technologien sind verfügbar und haben sich bewährt. Eingebettet in den IT-Regelbetrieb ermöglichen sie den sicheren Betrieb:

2016 XVIOb heute, wo die Patches verfügbar sind und schnell eingespielt werden können, oder morgen, wo die Wartungsfenster weiter auseinanderliegen oder vielleicht gar keine Patches mehr verfügbar sind.

avatar
Raimund Genes, Trend Micro

Raimund Genes war CTO bei Trend Micro.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 24. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.