Apple schließt kritische iTunes-Lücke
Das Update auf iTunes-Version 11.1 bringt nicht nur den Streaming-Dienst "iTunes Radio" mit, es schließt auch Schwachstelle im ActiveX-Plug-in.
- Ronald Eikenberg
Mit der gerade veröffentlichten iTunes-Version 11.1 schließt Apple eine kritische Lücke, durch die sich Windows-Nutzer mit Schadcode infizieren können. Das Sicherheitsloch klafft laut Apple im ActiveX-Plug-in von iTunes und betrifft somit nur Nutzer, die mit dem Internet Explorer surfen. Hat der Nutzer eine verwundbare iTunes-Version installiert, kann er sich bereits durch das Aufrufen einer speziell präparierten Webseite Malware einfangen.
Bei der Lücke handelt es sich um einen Speicherfehler, den der Sicherheitsforscher Honggang Ren von Fortinet vertraulich an Apple gemeldet hat. Apple gibt an, den Fehler durch eine zusätzliche Überprüfung von Speichergrenzen behoben zu haben; das deutet darauf hin, dass es sich um einen Speicherüberlauf auf dem Stack oder Heap handelt. (rei)