BSI warnt vor Sicherheitslücken in iTunes für Windows

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt auf seinem Bürgerportal vor Sicherheitslücken in der Medienverwaltung iTunes auf Windows-Systemen. Nutzer sollten die Apple-Software möglichst rasch aktualisieren, rät die Behörde in einer Mitteilung: "Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates, um die Schwachstellen zu schließen." Sie wurden in die Risikostufe 2 eingeordnet.

Beim Update auf die Version 12.7.4 werden mehrere Security-Bugs geschlossen, die Angreifer zum Beispiel ausnutzen können, um beliebigen Code auszuführen oder das Programm zum Absturz zu bringen. Die Aktualisierung lässt sich im iTunes-Menü über "Hilfe" und "Nach Updates suchen" anstoßen.

WebKit-Bugs und ein Pufferüberlauf für erhöhte Systemrechte

Laut Apples Informationsdokument zu den in iTunes 12.7.4 behobenen Sicherheitslücken stecken die meisten Fehler in der Browser-Engine WebKit, die Apple mit iTunes ausliefert. 16 davon betreffen Memory-Corruption-Probleme, die zur Code-Ausführung ausgenutzt werden könnten. Aber auch Denial-of-Service-Angriffe sowie das Exfiltrieren geschützter Daten sollen denkbar sein. Daneben können sich Anwendungen über iTunes erhöhte Systemrechte sichern – über einen Pufferüberlauf.

Fehlerbild wiederholt sich in der iCloud-Software für den PC

Apple hat außerdem die iCloud-Unterstützung für Windows aktualisiert. Die neue Version 7.4 behebt die Fehler, die auch in iTunes stecken – auch hier wird WebKit standardmäßig mitgeliefert und es existiert der erwähnte Pufferüberlauf. Auf dem Mac behebt Apple WebKit-Fehler direkt in seinem Web-Browser Safari, der von iTunes mitgenutzt wird. Die jüngste Version 11.1 von Safari steht seit Ende März zum Download bereit. (mit Material der dpa) / (bsc)