Apple stopft Sicherheitslücke in iTunes

12.01.2005 10:57 Uhr Jürgen Kuri

In Version 4.7.1 der Player- und Musikshop-Software iTunes ist ein kritischer Fehler korrigiert, der Angreifern das Ausführen von Code ermöglichte.

Apple [1] hat die Version 4.7.1 von iTunes herausgegeben. Die Software dient als Player- und Jukebox-Software, die auch den Zugriff auf Apples Online-Musikshop ermöglicht, und läuft unter Mac OS X und Windows. Die neue Version stopft eine Sicherheitslücke, die durch einen Buffer Overflow bei der Behandlung von m3u- und pls-Playlisten entstand. m3u-Playlists als vom Fraunhofer-Institut definiertes Playlist-Format etwa verbreiteten sich durch den bekannten Medienplayer Winamp. pls-Playlists wurden anfangs von MuseArc genutzt, einem der ersten MP3-Player; sie wurden dann auch von Winamp unterstützt.

Durch den Fehler konnte iTunes zum Absturz gebracht werden; Angreifern war es auch möglich, durch Ausnutzen des Buffer Overflow beliebigen Code auszuführen. Apple hat die Beschreibung der Lücke in das Knowledgebase-Dokument für Security-Updates [2] aufgenommen; entdeckt wurde sie von Sean de Regge. Die neue Version 4.7.1 von iTunes steht mittlerweile unter anderem in Englisch [3] und Deutsch [4] für Mac OS X und Windows bereit. Die neue Version unterstützt auch den gerade angekündigten Flash-Player iPod shuffle [5]. (jk [6])

URL dieses Artikels:
https://www.heise.de/-126521

Links in diesem Artikel:
[1] http://www.apple.com
[2] http://docs.info.apple.com/article.html?artnum=61798
[3] http://www.apple.com/itunes/download/
[4] http://www.apple.com/de/itunes/download/
[5] https://www.heise.de/news/MacWorld-Tanz-den-iPod-shuffle-126470.html
[6] mailto:jk@heise.de