Adobe-gebruikers zitten klem door Apple’s Quicktime-exit op Windows. De multimediasoftware krijgt geen updates meer en is onveilig, maar deïnstalleren kan andere applicaties saboteren.
Apple’s verlaten van de Windows-uitvoering van Quicktime is aanvankelijk onthuld door securityleverancier Trend Micro. Onderzoeker Steven Seeley van Source Incite heeft twee kwetsbaarheden in Quicktime voor Windows ontdekt en die aangemeld bij het Zero Day Initiative (ZDI) van Trend Micro. Die beveiliger heeft het in november vorig jaar netjes in vertrouwen gemeld bij Apple. De Quicktime-maker heeft ontvangst van de melding direct bevestigd en er vervolgens het zwijgen toegedaan, aldus Trend Micro in een blogpost van halverwege april.
Eeuwige 0-days
Toen de securityleverancier eind februari dit jaar navraag deed, kreeg het ongeveer een week later een respons. In het vervolgens gehouden overleg liet Apple weten dat Quicktime voor Windows zou worden geschrapt (deprecated). Dit betekent dat de twee ontdekte kwetsbaarheden geen patches krijgen en dat ze dus zogeheten 0-day gaten zijn.
Eind maart heeft Trend Micro nog Apple geïnformeerd dat het – in lijn met zijn beleid voor responsible disclosure – informatie over de Quicktime-kwetsbaarheden op of na 13 april bekend zou maken. Apple heeft die mededeling op 1 april bevestigd tegenover Trend Micro en daarbij een link aangereikt naar deïnstallatie-instructies voor Quicktime op Windows.
Deïnstalleren = saboteren
Trend Micro doet de dringende oproep aan Windows-gebruikers om Quicktime te verwijderen van hun pc’s. Het Amerikaanse beveiligingsorgaan US-Cert heeft dat advies ook al gegeven. Deïnstalleren is echter voor lang niet elke gebruiker een optie. Terwijl Apple’s eigen iTunes-software al sinds versie 10.5 (van oktober 2011) Quicktime niet meer nodig heeft voor het afspelen van mediamateriaal, geldt dit niet voor andere software. Zo blijken bepaalde Windows-programma’s van Adobe te vertrouwen op elementen van Quicktime.
Het gaat om professionale applicaties als Premiere en After Effects. Op internetfora maken gebruikers ook gewag van Adobe-programma’s als Photoshop, and Lightroom, naast video- en audio-applicaties als Corel Videostudio, Sound Forge Audio Studio 10, GoPro Studio, Cubase en kerkmediasoftware Mediashout. Laatstgenoemde had overigens al problemen met het nieuwste Quicktime op Windows 10, en verwees gebruikers naar een oudere Quicktime-versie.
Mitsen en maren
De hier genoemde software is niet per definitie gemankeerd als Quicktime voor Windows niet (meer) aanwezig is. Het gaat om bepaalde bestandsformaten of mediasoorten daarin, waarbij dan specifieke mediacodecs zijn gebruikt. Adobe zelf spreekt in een blogpost over codecs, maar noemt geen specifieke programma’s of workflows die worden geraakt door Apple’s Quicktime-exit voor Windows. Op een supportpagina noemt Adobe wel Photoshop (meerdere versies) en Lightroom (meerdere versies).
‘Adobe heeft veel werk verricht om afhankelijkheden van QuikTime te verwijderen uit zijn professionale video-, audio- en beeldbewerkingsapplicaties’, meldt het bedrijf in zijn blogpost van midden april. Dit is dus net ná de bekendmaking door Trend Micro en nog voor de officiële bevestiging door Apple. De Quicktime-maker heeft aanvankelijk zelf geen mededeling gedaan, maar het verlaten van de Windows-software later wel bevestigd aan de Amerikaanse zakenkrant The Wall Street Journal.
Afhankelijkheden in workflows
Adobe zet in zijn blogpost uiteen dat er op bepaalde gebieden al vooruitgang is geboekt. ‘Native decoderen van veel .mov-formaten is nu beschikbaar (inclusief ongecomprimeerd, DV, IMX, Mpeg2, XDcam, h264, Jpeg, DNxHD, DNxHR, Prores, AVCI and Cineform). Native support voor exporteren is ook mogelijk voor DV en Cineform in .mov-wrappers’” Daarmee is de Quicktime-exit echter niet pijnloos voor Adobe-gebruikers op Windows.
‘Helaas zijn er sommige codecs die er nog altijd afhankelijk van zijn dat Quicktime geïnstalleerd is op Windows, met name Apple Prores. We weten hoe gewoon dit formaat is in veel workflows en we blijven er hard aan werken om de situatie te verbeteren’, belooft het Creative Cloud Team van Adobe. ‘Andere algemeen gebruikte Quicktime-formaten die geraakt worden door het deïnstalleren van Quicktime omvatten Animation (import en export), DNxHD/HR (export) en ook workflows waarbij groeiende Quicktime-bestanden worden gebruikt.’
Afwachten
Adobe geeft hierbij toe dat er nu geen tijdsinschatting is voor de komst van native – en dus Quicktime-loos – decoderen. ‘We zijn van plan om onze inspanningen te verhogen voor het verwijderen van deze incompatibiliteiten, en om onze klanten een complete native pipeline te bieden.’ Eind april was er nog geen nieuwe informatie over deze kwestie.
Gebruikers reageren kritisch en sceptisch op deze blogpost van het Creative Cloud Team. Daarbij wordt er nog wel de nuttige tip aangedragen om de browser-plug-in van Quicktime te verwijderen. Te verwachten aanvallen op de openstaande beveiligingsgaten zouden namelijk vooral via webbrowsing kunnen komen. De kwetsbaarheden gelden echter niet alleen voor de plug-in, maar ook voor de Quicktime-codecs. Kwaadwillend geprepareerde mediabestanden kunnen dus ook een aanvalsvector vormen.
Nog wel te downloaden
Adobe-gebruikers die na deïnstallatie van Quicktime voor Windows merken dat ze die software toch nodig hebben, staan niet gelijk in de kou. Apple biedt de verlaten Windows-software namelijk nog wel ter download aan. Inmiddels is de Amerikaanse downloadpagina echter wel voorzien van de mededeling dat Quicktime 7 voor Windows niet langer ondersteund wordt. ‘Nieuwe versies van Windows sinds 2009 komen met support voor de belangrijkste mediaformaten, zoals H.264 en AAC, die Quicktime 7 mogelijk heeft gemaakt’, meldt Apple in de supportmededeling bij de download.
‘Alle huidige Windows-webbrowsers ondersteunen video zonder de noodzaak voor browser plug-ins. Als je Quicktime 7 niet langer nodig hebt op je pc, volg dan de instructies voor het deïnstalleren van Quicktime 7 voor Windows’, aldus de end-of-life (EOL)-melding. De Nederlandstalige downloadpagina voor de Windows-uitvoering van Quicktime was eind april nog niet voorzien van de aankondiging van het supporteinde.
