Apple flickt Lücken in Quicktime und iTunes

Mit der Bereitstellung von iTunes 8.2 beseitigt Apple eine Sicherheitslücke, die sich zum Einschleusen von Code eignen kann. Den in iTunes enthaltenen und auch separat erhältlichen Quicktime Player hat Apple auf Version 7.6.2 aktualisiert. Die neue Version behebt insgesamt zehn Sicherheitslücken, die sich alle ausnutzen lassen, um beliebigen Code einzuschleusen. Alle Schwachstellen betreffen Windows, die meisten auch Mac OS X.

Die neue iTunes-Version 8.2 bereitet den Weg für die Version 3.0 der iPhone-Software, die in nächster Zeit veröffentlicht werden soll. Die beseitigte Schwachstelle kann bei den Vorversionen von iTunes ausgenutzt werden, indem Opfer auf eine speziell präparierte Web-Seite gelockt werden. Diese kann mit Hilfe einer "itms:"-URL einen Speicherüberlauf in iTunes provozieren. Das Programm stürzt ab und eingeschleuster Code wird ausgeführt.

Bei Quicktime hat Apple eine ganze Reihe von Anfälligkeiten beseitigt. Eine davon ist ansatzweise in einem im März erschienenen Buch mit dem Titel "The Mac Hacker's Handbook" zu finden - genauer gesagt eine Anleitung, wie der Bug gefunden werden kann. Die meisten der Quicktime-Lücken gehen auf Fehler bei der Verarbeitung bestimmter Bild- und Videoformate zurück.

So können etwa speziell präparierte PSD- (Photoshop), PICT- und JP2-Bilddateien benutzt werden, um einen Speicherüberlauf zu provozieren. Die JP2-Lücke (JPEG 2000) ist in dem Buch von Charlie Miller und Dino Dai Zovi angedeutet und unabhängig davon auch von Damian Put an die "Zero Day Initiative" von Tipping Point gemeldet worden. Weitere mögliche Angriffsvektoren sind Quicktime-, FLC- und FLV-Videos. (PC-Welt/mja)