Apple stopft Sicherheitslücke in iTunes
In Version 4.7.1 der Player- und Musikshop-Software iTunes ist ein kritischer Fehler korrigiert, der Angreifern das Ausführen von Code ermöglichte.
Apple hat die Version 4.7.1 von iTunes herausgegeben. Die Software dient als Player- und Jukebox-Software, die auch den Zugriff auf Apples Online-Musikshop ermöglicht, und läuft unter Mac OS X und Windows. Die neue Version stopft eine Sicherheitslücke, die durch einen Buffer Overflow bei der Behandlung von m3u- und pls-Playlisten entstand. m3u-Playlists als vom Fraunhofer-Institut definiertes Playlist-Format etwa verbreiteten sich durch den bekannten Medienplayer Winamp. pls-Playlists wurden anfangs von MuseArc genutzt, einem der ersten MP3-Player; sie wurden dann auch von Winamp unterstützt.
Durch den Fehler konnte iTunes zum Absturz gebracht werden; Angreifern war es auch möglich, durch Ausnutzen des Buffer Overflow beliebigen Code auszuführen. Apple hat die Beschreibung der Lücke in das Knowledgebase-Dokument für Security-Updates aufgenommen; entdeckt wurde sie von Sean de Regge. Die neue Version 4.7.1 von iTunes steht mittlerweile unter anderem in Englisch und Deutsch für Mac OS X und Windows bereit. Die neue Version unterstützt auch den gerade angekündigten Flash-Player iPod shuffle. (jk)
