iTunes 10.2

Apple schließt 57 Lücken in iTunes

Apple hat die neue iTunes-Version 10.2 bereit gestellt, in der zahlreiche als kritisch einzustufende Sicherheitslücken behoben sind. Die Mehrzahl der Schwachstellen betreffen den integrierten Browser, der auf Webkit basiert.

Die neue iTunes-Version 10.2 für Windows ist vor allem ein Sicherheits-Update. Apple hat 57 Schwachstellen in drei iTunes-Komponenten beseitigt, von denen allein 50 im Webkit-basierten Browser stecken. Bei aller Aufregung um die Vorstellung des neuen iPad 2 sollten Anwender dieses Update umgehend installieren.

In der Komponente ImageIO hat Apple fünf Lücken geschlossen, von denen zwei auf die quelloffene Programmbibliothek libpng zurück gehen. In iTunes 10.2 steckt nun die Version 1.4.3 der libpng vom Juni 2010. Präparierte PNG-Bilder können zum Absturz führen, der es ermöglichen kann eingeschleusten Code auszuführen.

Ähnliche Probleme haben bisherige iTunes-Versionen mit JPEG- und TIFF-Bildern. Drei nunmehr beseitigte Schwachstellen können es einem Angreifer ermöglichen Code einzuschleusen und auszuführen, wenn entsprechend vorbereitete Bilddateien in einer anfälligen iTunes-Version angezeigt werden.

Die Programmbibliothek libxml trägt zwei Sicherheitslücken bei, die mit Hilfe speziell präparierter XML-Dateien zum Programmabsturz führen können. Angreifer, die diese Schwachstellen erfolgreich ausnutzen, könnten schädlichen Code mit den Rechten des Benutzers ausführen.

Der in iTunes integrierte Web-Browser könnte beim Besuch des iTunes-Store via iTunes einen so genannten Man-in-the-Middle-Angriff erlauben. Der wie Safari und Chrome auf Webkit basierende Browser enthält 50 dokumentierte Sicherheitslücken, die sich im Zuge dessen ausnutzen lassen, um beliebigen Code einzuschleusen.

Soweit bekannt, hat Google diese Lücken in Chrome bereits behoben. Ob Apple noch vor dem Hackerwettbewerb Pwn2own, der am 9. März beginnt, ein Update für seinen Web-Browser Safari bereit stellen wird, ist zurzeit noch nicht bekannt. (PC Welt/mje)