iTunes-Update schließt Schwachstellen
Das Update enthält zwei Fehlerkorrekturen, die verhindern, das Angreifer das Programm über das Netz lahmlegen oder an Nutzerdaten gelangen können.
Apples iTunes-Update 8.1 enthält zwei sicherheitsrelevante Fehlerkorrekturen. Angreifer können die Schwachstellen in Vorgängerversionen übers Netzwerk ausnutzen und das Musikprogramm teilweise lahmlegen oder zur Preisgabe von Anwenderdaten bewegen.
Der erste Fehler betrifft nur die Windows-Version. Bei der Verarbeitung manipulierter DAAP-Nachrichten (Digital Audio Access Protocol) – das iTunes-eigene Netzwerk-Musik-Protokoll – kann das Programm in eine Endlosschleife geraten und die Netzwerkfunktionalität einstellen.
Der zweite Fehler findet sich sowohl in der Version für Windows als auch für Mac OS X und kann beim Zugriff auf Internetradiosender und Podcasts auftreten. Durch einen erfolgreichen Angriff soll sich laut Apple beim Verbinden zu einem manipulierten Shoutcast-Server eine Eingabeaufforderung für iTunes-Zugangsdaten öffnen. Die dort eingegebenen Daten gelangen zum Server und ermöglichen dem Angreifer unter Umständen Rückschlüsse auf andere Zugangsdaten des Opfers.
iTunes-Nutzer sollten möglichst bald die neue Version einspielen, sofern sie dies noch nicht getan haben. In OS X erldigt dies die Software-Aktualisierung des Betriebssystems, in der Windows-Version der Updater oder ein Download des aktualisierten Komplettpakets.
Siehe dazu auch:
- About the security content of iTunes 8.1, Hinweise von Apple
- iTunes im heise Software-Verzeichnis
(cr)
