Zeroday-Fehler in iTunes für Windows wird für Ransomware ausgenutzt

Eine Komponente in iTunes und iCloud für Windows ließ sich zur Installation von Datenschädlingen nutzen. Vor dem Patch wurde das offenbar aktiv ausgenutzt.

In Pocket speichern vorlesen Druckansicht 40 Kommentare lesen
iTunes unter Windows

iTunes unter Windows.

(Bild: Apple)

Lesezeit: 2 Min.

Apple hat eine problematische Sicherheitslücke in zwei seiner Windows-Apps geschlossen, die einem Bericht zufolge bereits aktiv von Angreifern ausgenutzt wurde. Das meldet das Sicherheitsunternehmen Morphisec. Der Bug steckte demnach in einer Komponente des Netzwerkdienstes Bonjour, die in iTunes sowie iCloud für Windows enthalten ist.

Es handelt sich um einen sogenannten Unquoted Service Path, bei dem der Entwickler vergessen hat, einen Dateipfad in Anführungszeichen zu setzen. Damit können Apps, denen von Windows vertraut wird – Apple gehört dank digitaler Signatur natürlich dazu – genötigt werden, bösen Code auszuführen, der dann wiederum von den meisten Anti-Virus-Programmen nicht entdeckt werden kann.

Im Fall von iTunes und iCloud für Windows sollen Angreifer die Lücke verwendet haben, um eine Ransomware auf den Rechner aufzuspielen, mit der Nutzer erpresst wurden. Es handele sich um den Schädling Bitpaymer, so Morphisec. Wie häufig die Infektionen erfolgten, ist allerdings unklar. Apple hatte den Bug mit iCloud für Windows 7.14 (für Windows 7), iCloud für Windows 10.7 sowie iTunes 12.10.1 behoben. Diese erschienen Anfang der Woche.

Nutzer, die iTunes oder iCloud für Windows bereits zuvor deinstalliert hatten, sollten noch einmal genauer nachschauen, ob auch die Bonjour-Routinen mitgelöscht wurden. Diese installiert Apple als eigenständiges Paket. Entsprechend müssen User, die diese auf dem Rechner haben, iTunes und/oder iCloud für Windows installieren, um sie zu aktualisieren – oder sie alternativ eben einzeln deinstallieren.

Mit den neuen Versionen behebt Apple auch andere Fehler in iTunes und iCloud für Windows, darunter solche in der Browser-Engine WebKit. Entsprechend wichtig ist ein baldiges Update. In seinen Angaben zu den geschlossenen Sicherheitslücken erwähnt Apple Morphisec mit einem "Credit", nennt den konkret behobenen Fehler allerdings nicht.

Warum dies der Fall ist, ist unklar – womöglich will der Konzern andere Malware-Autoren nicht darauf stoßen. Mit dem Disclosure durch Morphisec hat sich dies allerdings erledigt. Apple hatte in jüngster Zeit Kritik dafür einstecken müssen, dass Sicherheitshinweise verspätet oder ohne nähere Angaben veröffentlicht werden. (bsc)