Technische Warnung des Buerger-CERT

[Bcert-2010-0062/1]:
Apple iTunes 9.2.1

Risiko: Hoch

Betroffene Systeme:
Apple iTunes vor Version 9.2.1


Empfehlung:

Das Buerger-CERT empfiehlt die Installation des von Apple
bereitgestellten Sicherheitsupdates iTunes 9.2.1, um die Schwachstelle
zu schliessen.

Dies geschieht fuer Apple Produkte am einfachsten ueber die "Software
Aktualisierung" des Betriebssystems [2] bzw. unter Microsoft Windows mit
der Anwendung "Apple Software Update".

Alternativ steht die aktuelle iTunes-Version 9.2.1 auf folgender
Webseite zum Download bereit:

http://www.apple.com/itunes/download/

Beschreibung:

In dem Multimedia-Verwaltungsprogramm Apple iTunes existiert eine
Pufferueberlauf-Schwachstelle bei der Verarbeitung von itpc:// URLs.
Diese URLs dienen dem direkten Abonnieren von Podcasts in iTunes.

Durch das Oeffnen einer praeparierten itpc:// URL durch das Opfer hat
ein entfernter Angreifer die Moeglichkeit die
Pufferueberlauf-Schwachstelle zur Ausfuehrung von Schadcode mit den
Rechten des angemeldeten Benutzers auf dem Rechner des Opfers
auszunutzen. Fehlgeschlagene Angriffe koennen zu einem Absturz von
iTunes fuehren.

Quellen:

[1] iTunes 9.2.1 Sicherheitsupdate
http://support.apple.com/kb/HT4263

[2] Mac OS X: Software-Aktualisierung
http://support.apple.com/kb/HT1338?viewlocale=de_DE&locale=de_DE

-----------------------------------------------------------------------

Diese Technische Warnung ist ein kostenloses Service-Angebot des
Buerger-CERT, http://www.buerger-cert.de. Die Informationen werden mit
groesster Sorgfalt recherchiert und aufbereitet, dennoch kann eine
Gewaehr oder Haftung fuer die Vollstaendigkeit und Richtigkeit nicht
uebernommen werden.

Unter http://www.buerger-cert.de haben Sie die Moeglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und
Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de