Menü

Diverse Sicherheitslücken in iTunes für Windows

Apple hat seiner Mediathek-App auf dem PC ein Update spendiert, das mehr als ein halbes Dutzend Bugs fixt – darunter auch kritische.

Von
vorlesen Drucken Kommentare lesen 23 Beiträge
iTunes unter Windows

iTunes auf einem Windows-Laptop.

(Bild: Apple)

Apple hat mit dem Update auf iTunes 12.9.3 für Windows, das in dieser Woche erschienen ist, eine größere Anzahl von sicherheitsrelevanten Schwachstellen gepatcht. Der Konzern führt auf seiner Security-Website insgesamt sieben Lücken auf. Diese betreffen großteils die in iTunes integrierte Web-Engine WebKit, aber auch andere Bereiche.

So konnten sich Angreifer über einen Fehler in Core Media mehr Systemrechte verschaffen, als ihnen zustehen. Der AppleKeyStore hatte einen Sandboxing-Bug. Die integrierte SQLite-Datenbank in iTunes ließ sich zum Ausführen unerwünschten Codes missbrauchen.

Die insgesamt vier detailliert ausgeführten WebKit-Bugs sind teilweise schwerwiegend und können ebenfalls zur Code-Ausführung missbraucht werden. Eine eigenet sich zum universellen Cross-Site-Scripting. Wie bei allen iTunes-WebKit-Bugs gillt, das Angreifer Nutzer zunächst per Man-in-the-Middle-Angriff dazu bekommen müssen, entsprechend manipulierte Seiten in der Mediathek-App aufzurufen, sie bietet kein freies Browsing im Web.

Ein offenbar fünfter Fehler in WebKit, der in iTunes für Windows steckt, wird von Apple nicht näher ausgeführt – hier gibt der Konzern nur im Bereich "Additional Recognition" an, dass ein "anonymer Forscher" beim Lückenstopfen geholfen habe. Offenbar plant Apple, hier erst später Details nachzureichen – dies ist ein Ansatz, der seit dem letzten Jahr leider häufiger vorkommt.

iTunes 12.9.3 kann über iTunes.com bezogen werden und ist ansonsten auch über die Software-Update-Funktion von Apple für Windows verfügbar. Nutzer sollten die neue Version schnellstmöglichst einspielen, auch wenn es offenbar noch keine Exploits für die behobenen Sicherheitsprobleme zu geben scheint. Mac-Nutzer bekommen WebKit-Bugs stets mit dem Browser Safari gestopft, iTunes ist seit macOS Mojave Teil des Betriebssystems. (bsc)

Anzeige
Anzeige