158718

Sicherheitslücken in Quicktime und iTunes gestopft

02.06.2009 | 15:15 Uhr |

Apple hat neue Versionen von iTunes und Quicktime bereit gestellt. Darin hat der Hersteller etliche Sicherheitslücken beseitigt, insbesondere bei Quicktime. Sowohl Windows als auch Mac OS X sind betroffen.

Mit der Bereitstellung von iTunes 8.2 beseitigt Apple eine Sicherheitslücke, die sich zum Einschleusen von Code eignen kann. Den in iTunes enthaltenen und auch separat erhältlichen Quicktime Player hat Apple auf Version 7.6.2 aktualisiert. Die neue Version behebt insgesamt zehn Sicherheitslücken, die sich alle ausnutzen lassen, um beliebigen Code einzuschleusen. Alle Schwachstellen betreffen Windows, die meisten auch Mac OS X.

Die neue iTunes-Version 8.2 bereitet den Weg für die Version 3.0 der iPhone-Software, die in nächster Zeit veröffentlicht werden soll. Die beseitigte Schwachstelle kann bei den Vorversionen von iTunes ausgenutzt werden, indem Opfer auf eine speziell präparierte Web-Seite gelockt werden. Diese kann mit Hilfe einer "itms:"-URL einen Speicherüberlauf in iTunes provozieren. Das Programm stürzt ab und eingeschleuster Code wird ausgeführt.

Bei Quicktime hat Apple eine ganze Reihe von Anfälligkeiten beseitigt. Eine davon ist ansatzweise in einem im März erschienenen Buch mit dem Titel "The Mac Hacker's Handbook" zu finden - genauer gesagt eine Anleitung, wie der Bug gefunden werden kann. Die meisten der Quicktime-Lücken gehen auf Fehler bei der Verarbeitung bestimmter Bild- und Videoformate zurück.

So können etwa speziell präparierte PSD- (Photoshop), PICT- und JP2-Bilddateien benutzt werden, um einen Speicherüberlauf zu provozieren. Die JP2-Lücke ( JPEG 2000 ) ist in dem Buch von Charlie Miller und Dino Dai Zovi angedeutet und unabhängig davon auch von Damian Put an die "Zero Day Initiative" von Tipping Point gemeldet worden. Weitere mögliche Angriffsvektoren sind Quicktime-, FLC- und FLV-Videos.

Download iTunes 8.2
Download Quicktime 7.6.2

0 Kommentare zu diesem Artikel
158718