zurück zum Artikel

Diverse Sicherheitslücken in iTunes für Windows

Ben Schwan
iTunes unter Windows

iTunes auf einem Windows-Laptop.

(Bild: Apple)

Apple hat seiner Mediathek-App auf dem PC ein Update spendiert, das mehr als ein halbes Dutzend Bugs fixt – darunter auch kritische.

Apple hat mit dem Update auf iTunes 12.9.3 für Windows, das in dieser Woche erschienen ist, eine größere Anzahl von sicherheitsrelevanten Schwachstellen gepatcht. Der Konzern führt auf seiner Security-Website insgesamt sieben Lücken auf [1]. Diese betreffen großteils die in iTunes integrierte Web-Engine WebKit, aber auch andere Bereiche.

Sandboxing, SQLite, AppleKeyStore

So konnten sich Angreifer über einen Fehler in Core Media mehr Systemrechte verschaffen, als ihnen zustehen. Der AppleKeyStore hatte einen Sandboxing-Bug. Die integrierte SQLite-Datenbank in iTunes ließ sich zum Ausführen unerwünschten Codes missbrauchen.

Die insgesamt vier detailliert ausgeführten WebKit-Bugs sind teilweise schwerwiegend und können ebenfalls zur Code-Ausführung missbraucht werden. Eine eigenet sich zum universellen Cross-Site-Scripting. Wie bei allen iTunes-WebKit-Bugs gillt, das Angreifer Nutzer zunächst per Man-in-the-Middle-Angriff dazu bekommen müssen, entsprechend manipulierte Seiten in der Mediathek-App aufzurufen, sie bietet kein freies Browsing im Web.

Noch ein WebKit-Fehler – ohne Details

Ein offenbar fünfter Fehler in WebKit, der in iTunes für Windows steckt, wird von Apple nicht näher ausgeführt – hier gibt der Konzern nur im Bereich "Additional Recognition" an, dass ein "anonymer Forscher" beim Lückenstopfen geholfen habe. Offenbar plant Apple, hier erst später Details nachzureichen – dies ist ein Ansatz, der seit dem letzten Jahr leider häufiger vorkommt.

iTunes 12.9.3 kann über iTunes.com [2] bezogen werden und ist ansonsten auch über die Software-Update-Funktion von Apple für Windows verfügbar. Nutzer sollten die neue Version schnellstmöglichst einspielen, auch wenn es offenbar noch keine Exploits für die behobenen Sicherheitsprobleme zu geben scheint. Mac-Nutzer bekommen WebKit-Bugs stets mit dem Browser Safari gestopft, iTunes ist seit macOS Mojave Teil des Betriebssystems. (bsc [3])

URL dieses Artikels:
https://www.heise.de/-4287940

Links in diesem Artikel:
[1] https://support.apple.com/de-de/HT209450
[2] https://www.apple.com/itunes/?cid=OAS-US-DOMAINS-itunes.com
[3] mailto:bsc@heise.de

Copyright © 2019 Heise Medien