Neue iTunes-Version 10.2 beseitigt über 50 Lücken

Apple hat die neue Version 10.2 seines Medienverwalters iTunes zum Download bereit gestellt. Darin haben die Apple-Programmierer 57 Sicherheitslücken geschlossen. Allein 50 davon entfallen auf den iTunes-Browser. Die übrigen Schwachstellen betreffen die Open-Source-Bibliotheken libpng und libxml.

Der kostenlose Media Player iTunes für Windows ist ab sofort in der neuen Version 10.2 erhältlich. Dabei handelt es sich vor allem um ein Sicherheits-Update. Das hat es in sich, denn die Programmierer mussten 57 Lücken in drei wichtigen Bestandteilen ihrer Software beseitigen. Allerdings betreffen sie Komponenten, die nicht von iTunes-Entwicklern stammen.

Fünf Schwachstellen sind in ImageIO beseitigt worden. Zwei davon stecken in der quelloffenen Referenzbibliothek "libpng" für die Darstellung von PNG-Bildern, die nun in der neueren Version 1.4.3 enthalten ist. Auch die übrigen drei Lücken betreffen die Anzeige manipulierter Bilddateien, bei der iTunes abstürzen kann. Mit speziell präparierten JPEG- oder TIFF-Dateien könnte Code eingeschleust und ausgeführt werden.

iTunes

Version: 10.2
Lizenz: Freeware
Betriebssystem: WindowsMac

Die offene Programmbibliothek "libxml" ist für zwei weitere Lücken verantwortlich, die nun gestopft sind. Auch hier können entsprechend manipulierte Dateien benutzt werden, um eingeschleusten Code auszuführen und das System zu kompromittieren.

In dem auf Webkit aufgebauten iTunes-Browser sind 50 Sicherheitslücken geschlossen worden. Im Rahmen eines Man-in-the-Middle-Angriffs könnte beim Besuch des iTunes-Store Code eingeschleust werden, der mit den Berechtigungen des angemeldeten Benutzers ausgeführt würde. Es ist also empfehlenswert die neue iTunes-Version umgehend zu installieren, um auf der sicheren Seite zu sein.

Die Webkit-Lücken sollten auch Safari betreffen - ob Apple allerdings vor dem Hackerwettbewerb Pwn2own ein Safari-Update veröffentlichen wird, ist noch unklar. Das Browser-Hacken startet am 9. März auf der Sicherheitskonferenz CanSecWest in Vancouver, Kanada. Google und Mozilla haben ihre Browser Chrome und Firefox jedenfalls schon abgedichtet.