iTunes: Apple schließt problematische Lücke in PC-Version
Das Update 11.2 stopft ein Leck, über das es unter Windows XP SP3 bis 8 möglich war, iTunes-Zugangsdaten zu stehlen.
Apples am Donnerstagabend veröffentlichtes Update 11.2 für iTunes bringt nicht nur eine etwas bessere Podcast-Verwaltung mit, sondern behebt für Windows-Nutzer auch ein kritisches Sicherheitsproblem. Das geht aus Apples Website zur Produktsicherheit hervor.
(Bild: Apple)
Der Bug, den Apple als CVE-2014-1296 führt, machte es möglich, iTunes-Zugangsdaten zu stehlen, wenn sich der Angreifer im gleichen Netzwerk wie das Opfer befand. Laut Apple wurden vor iTunes 11.2 die Set-Cookie-HTTP-Header auch dann weiterverarbeitet, wenn die Verbindung geschlossen wurde, bevor die Header-Zeile vollständig war. "Ein Angreifer konnte die Sicherheitseinstellungen aus dem Cookie entfernen, in dem die Verbindung vor deren Versand unterbrochen wurde", so Apple.
Dies soll es möglich gemacht haben, den Wert des ungeschützten Cookies zu extrahieren, mit dem dann wiederum ein Zugriff auf den iTunes-Account des Nutzers möglich war. Apple behebt das Problem, das der Konzern offenbar selbst entdeckt hat, indem unvollständige HTTP-Header-Zeilen künftig ignoriert werden.
Der Bug steckte laut Apple nur in der Windows-Variante von iTunes, betroffen waren alle Versionen für XP SP3, Vista, 7 und 8. Nutzer dieser Plattformen sollten das iTunes-11.2-Update möglichst bald einspielen. (bsc)
