Apple schließt über 160 iTunes-Lücken

Das Security Advisory zu der gerade veröffentlichten iTunes-Version 10.7 hat beunruhigende Ausmaße: Demnach beseitigt das Update Lücken, denen insgesamt 163 CVE-Nummern zugeordnet sind. Auf den zweiten Blick fällt auf, dass sich die Schwachstellen in der Browser-Engine WebKit befinden, die iTunes zur Anzeige des HTML-basierten Multimediashops nutzt. Betroffen ist dabei allein die Windows-Version von iTunes. Die Mac-Variante von iTunes 10.7 wurde nicht gepatcht; dort bessert Apple Fehler in WebKit über Safari-Updates aus.

Beunruhigend ist, dass die Lücken in Googles Chrome-Browser, der ebenfalls auf WebKit basiert, zum Teil bereits vor einem halben Jahr geschlossen wurden und Apple seine Safari-Nutzer auf dem Mac bereits im Juli abgesichert hat. Dabei haben es die Lücken durchaus in sich: schlimmstenfalls kann ein Angreifer durch sie laut Apple Schadcode ins System einschleusen, der beim Besuch einer speziell präparierten Webseite ausgeführt wird. Dass sich Apple bei iTunes trotzdem relativ viel Zeit gelassen hat, könnte daran liegen, dass man damit keine beliebigen Webseiten aufrufen kann.

Trotzdem sollte man die Lücken nicht auf die leichte Schulter nehmen. Es besteht etwa die Möglichkeit, in öffentlichen Netzen als Man-in-the-Middle den Datenverkehr zu manipulieren und so Web-Exploits in die Shop-Seiten einzuschleusen. Auch eine Cross-Site-Scripting-Lücke (XSS) im Store könnte dem Nutzer einer veralteten iTunes-Version zum Verhängnis werden. (rei)