iTunes: Apple schließt problematische Lücke in PC-Version

Das Update 11.2 stopft ein Leck, über das es unter Windows XP SP3 bis 8 möglich war, iTunes-Zugangsdaten zu stehlen.

In Pocket speichern vorlesen Druckansicht 17 Kommentare lesen
Lesezeit: 1 Min.

Apples am Donnerstagabend veröffentlichtes Update 11.2 für iTunes bringt nicht nur eine etwas bessere Podcast-Verwaltung mit, sondern behebt für Windows-Nutzer auch ein kritisches Sicherheitsproblem. Das geht aus Apples Website zur Produktsicherheit hervor.

iTunes 11.2 bringt unter anderem eine verbesserte Podcast-Verwaltung mit.

(Bild: Apple)

Der Bug, den Apple als CVE-2014-1296 führt, machte es möglich, iTunes-Zugangsdaten zu stehlen, wenn sich der Angreifer im gleichen Netzwerk wie das Opfer befand. Laut Apple wurden vor iTunes 11.2 die Set-Cookie-HTTP-Header auch dann weiterverarbeitet, wenn die Verbindung geschlossen wurde, bevor die Header-Zeile vollständig war. "Ein Angreifer konnte die Sicherheitseinstellungen aus dem Cookie entfernen, in dem die Verbindung vor deren Versand unterbrochen wurde", so Apple.

Dies soll es möglich gemacht haben, den Wert des ungeschützten Cookies zu extrahieren, mit dem dann wiederum ein Zugriff auf den iTunes-Account des Nutzers möglich war. Apple behebt das Problem, das der Konzern offenbar selbst entdeckt hat, indem unvollständige HTTP-Header-Zeilen künftig ignoriert werden.

Der Bug steckte laut Apple nur in der Windows-Variante von iTunes, betroffen waren alle Versionen für XP SP3, Vista, 7 und 8. Nutzer dieser Plattformen sollten das iTunes-11.2-Update möglichst bald einspielen. (bsc)