Über eine Sicherheitslücke in der Windows-Version von iTunes könnte Malware auf dem System installiert werden. Insgesamt wurden von Apple bereits im Mai zwei Schwachstellen in iTunes behoben. Allerdings dürften viele Nutzer das Update noch nicht eingespielt haben. Synopsys, ein Sicherheitsunternehmen, das einen der beiden Bugs an Apple meldete, hat jetzt weitere Details zu möglichen Angriffen veröffentlicht.

Nutzer von iTunes sollten möglichst auf die Version 12.12.9 aktualisieren, das über Apples Softwareupdate-Funktion unter Windows bereitsteht. Alternativ kann es über den Microsofts App-Laden oder direkt bei Apple bezogen werden. Die in der jüngsten Version geschlossenen Schwachstellen wurden betrafen jeweils "Logic Issues", die es einem Angreifer erlauben, über iTunes mehr Systemrechte zu erhalten. Synopsys schreibt dazu, dass dies in der Praxis bedeutet, dass ein Hacker sich System-Level-Zugriff verschaffen kann. "Die Ausnutzung dieser Sicherheitsanfälligkeit kann unter Windows zu einer Ausweitung der lokalen Rechte führen, wodurch Rechte auf Systemebene erlangt werden können."

Es ist noch nicht bekannt, ob diese Lücken bereits ausgenutzt werden. Die Gefahr wird von Synopsys als "hoch" eingeschätzt. Einen privilegierten Ordner mit schwacher Zugriffskontrolle erstelle iTunes, was dann ein ganz normaler User ausnutzen könne.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE