-
Instant Messenger wie der AIM dienen seit einiger Zeit auch zur Verbreitung von Viren und Würmern. Oft - und auch in diesem Fall - wird eine Download-Adresse über einen Messenger-Dienst verbreitet. Hier ist es der von AOL. Klickt ein Empfänger neugierig auf den Link, lädt er sich eine Datei herunter, die einen Schädling enthält.
Die per AIM verbreitete Nachricht lautet "this picture never gets old". Das Wort "old" ist als Link ausgeführt, der scheinbar auf eine Bilddatei im JPEG-Format zeigt. Tatsächlich lädt man sich damit einen Wurm aus der Opanki-Familie herunter. Dieser kopiert sich als "itunes.exe" in das Windows-Verzeichnis (%windir%). Dann trägt er sich in die Registry ein, damit er beim Starten von Windows automatisch geladen wird:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Itunes = %windir%\itunes.exe
Offensichtlich soll diese Namensgebung den Eindruck erwecken, es handele sich um Apples Musik-Software. Der Schädling kontaktiert über den TCP-Port 4888 einen IRC-Server und holt sich Instruktionen. Er lädt ein dann ein Trojanisches Pferd herunter und installiert insgesamt vier Adware-Programme.
Bei Trend Micro ist dieser Wurm als "Opanki.Y" bekannt, Symantecs Norton Antivirus meldet mit neuestem Update " W32.Opanki.D ".
Quelle und Links : http://www.pcwelt.de/news/sicherheit/116379/index.html (http://www.pcwelt.de/news/sicherheit/116379/index.html)
-
Tom Ferris hat eine Lücke in Apples Quicktime- und iTunes-Software für Mac OS X und Windows entdeckt, über die Angreifer mit manipulierten .mov-Dateien möglicherweise Code einschleusen und zur Ausführung bringen könnten. In seiner Sicherheitsmeldung stellt er auch gleich zwei präparierte .mov-Dateien bereit, die den Fehler demonstrieren.
Laut Ferris betrifft der Fehler die aktuellen Versionen 7.0.3 von Quicktime und iTunes 6.0.1 sowohl auf Mac OS X als auch auf Windows. Ältere Versionen seien höchstwahrscheinlich auch anfällig. Die Demonstrations-Dateien verursachten dem Entdecker zufolge einen Buffer Overflow auf dem Heap, über den unter Umständen auch Code eingeschleust werden könnte.
Der Softwarehersteller wurde inzwischen informiert; ein Bugfix steht aber noch aus. Bis zur Veröffentlichung von fehlerbereinigten Paketen durch Apple sollten Anwender von Quicktime und iTunes keine .mov-Dateien aus zweifelhaften Quellen mit der Software abspielen.
Siehe dazu auch:
* Apple QuickTime 7.0.3 & iTunes 6.0.1 Heap Overflow, Security Advisory von Tom Ferris
* Sicherheits-Updates-Seite von Apple
Quelle und Links : http://www.heise.de/newsticker/meldung/67646
-
Die Musikzuspiel- und Verwaltungs-Software für Apples portable Musikplayer der iPod-Serie tut es dem Spielberg'schen Alien ET gleich und telefoniert in der aktuellen Version iTunes 6.0.2 nach Hause. Problematisch ist dabei, dass in der Software-Lizenz, die Anwender bei der Installation akzeptieren müssen, dieses Verhalten mit keiner Silbe erwähnt wird.
Die iTunes-Software enthält unterhalb der Medienbibliothek ein Anzeigeelement, den MiniStore. Dort blendet Apple Alben aus seinem Online-Store ein, die der aktuell gelauschten Musik ähnlich sind. Hierzu überträgt die Software nur den Interpreten aus dem ID3-Tag der gehörten Stücke an einen Server, wie Eric Bangeman von Ars Technica untersucht hat. Der Server sucht auf Grund dieser Angaben die Alben dieses Künstlers und weitere ähnliche heraus.
iTunes lässt sich aber sehr einfach von seiner Telefonsucht befreien. Den Ministore können Benutzer etwa über den kleinen Knopf zur Linken der Equalizer-Einstellungen abschalten. Betätigt der Anwender diesen, hat der Spuk ein Ende – fortan überträgt die Software keine Hörgewohnheiten des Anwenders mehr.
Siehe dazu auch:
* MiniStore in iTunes 6.0.2 comes with privacy concerns von Eric Bangeman auf Ars Technica
Quelle und Links : http://www.heise.de/newsticker/meldung/68245
-
[Update]:
Apple erwähnt in der EULA zu iTunes lediglich die Übertragung von Daten an CDDB-Server zur Abfrage von Albeninformationen. Ein Dokument von Apple beschreibt das Abschalten des Ministores – und erwähnt auch, dass dazu Informationen an den Apple Store übertragen werden. Nach deutschem Recht ist es allerdings nicht zulässig, Daten ohne vorherige Einwilligung der Benutzer zu übertragen.
Quelle : www.heise.de
-
Was Apple über die "phone home"-Funktion in iTunes über seine Kunden erfährt, interessiert die Firma gar nicht: Solche Informationen würden nicht gespeichert, behauptet ein Firmensprecher - Gerüchten zufolge Steve Jobs in Person. Derweil prophezeit Sun-Chef McNealy das Ende des iPod.
Die Entdeckung, dass die neue Version der iTunes-Software Informationen darüber, welche Musik der Nutzer gerade spielt, an einen Server bei Apple überträgt, hat einigen Staub aufgewirbelt. Mit solchen in Hinsicht auf den Datenschutz bedenklichen "phone home"-Funktionen hatte sich einst Microsoft mächtig unbeliebt gemacht - für Apple-Anhänger bekanntlich das absolute Gegenbild zur "Appleigkeit". Das nun auch die Guten aus Cupertino sich solcher Methoden erkecken, trifft manchen Fan hart.
>Alles halb so wild, beschwichtigte da schnell ein nicht identifizierter Firmensprecher gegenüber der "PC World" - und schneller noch verbreitete sich das Gerücht, dieser Sprecher sei niemand anderes als Steve Jobs persönlich. Will heißen: Wenn der das sagt, dann muss das wahr sein, denn "his Steveness" (etwa: "seine Stevigkeit") gilt als Messias der Apple-Gemeinde - und an dem zweifelt man nicht.
Bei dem so genannten "MiniStore feature", erklärt nun die "Macworld", handele es sich um ein reine Waren-Empfehlungsmethode, wie sie zum Beispiel auch von Amazon und anderen Händlern eingesetzt werden ("Wer dieses Buch kaufte, interessierte sich auch für..."). Wörtlich heißt es in dem Artikel, der nach dem Anruf des nicht indentifizierten Sprechers "auf den neuesten Stand gebracht wurde": "Um das zu können, muss der Music Store offensichtlich wissen, was man sich gerade anhört. Er bekommt diese Information jedes Mal, wenn man ein Lied per Doppelklick aufruft."
Und zwar tatsächlich ohne, dass der Nutzer zuvor sein Einverständnis abgegeben hätte, betont die "Macworld". Obwohl, wie Experten inzwischen bestätigen, das "phone home"-Feature leicht zu deaktivieren ist, ist die Verstimmung groß in Apple-Land.
Hier die Anleitung: Auf dem Mac reicht die Tastenkombination "Shift-Command-M", deaktivieren lässt sich das feature auch über das Bearbeiten-Menü: Minstore deaktivieren - und fort ist der Spuk.
McNealys Visionen: iPods Ende
Fort, glaubt derweil der bekennende Apple-Fan Scott McNealy, hauptberuflich Chef von Sun Microsystems, könnte bald auch der iPod sein. Die Zeit des erfolgreichsten Music-Players gehe ihrem Ende entgegen, glaubt McNealy, denn in fünf Jahren sei Musik noch weniger als heute an einen Speicherort gebunden. In den Netzen, sagt der Sun-Chef voraus, werden wir alle unsere Musik speichern, und sie gerade da abrufen, wo wir uns jeweils befinden.
Scott McNealy: "Dein iPod ist wie ein Anrufbeantworter. Es ist eine vergängliches Konzept. Es wird hart, noch eine Menge iPods zu verkaufen wenn in fünf Jahren jedes Handy in der Lage sein wird, die persönliche Musikbibliothek abzugreifen, wo man auch gerade ist."
Dass Steve Jobs ob solcher Prophezeiungen der Angstschweiß auf die Stirn tritt, braucht man derweil kaum zu fürchten. Apple hat im letzten Weihnachtsgeschäft mehr iPods abgesetzt als je zuvor, und zudem kennt er McNealys Steckenpferde: Seit Mitte der Neunziger prophezeit McNealy in regelmäßigen Abständen das Kommen der "Server-based-Applications".
McNealys Vision der technologischen Zukunft geht davon aus, dass über das Netz angesteuerte Dienstprogramme und Datenbestände Betriebssysteme, autonome PCs und feste "Datenverarbeitungs-Orte" ersetzen werden. Eine naheliegende Vision, wenn man Chef von Sun ist: Genau für solche Zwecke ließ Sun einst Java entwickeln. Natürlich hofft McNealy, dass sein Unternehmen mit Servern und Software an vorderster Front dabei sein wird, wenn es soweit kommt.
Oder sollte man sagen falls?
Quelle : www.spiegel.de
-
"Niemand hat die Absicht, eine Mauer zu errichten"
...aber was ist morgen oder übermorgen ? ? ?
Klarer Fall, sowas gehört sich nicht und ist unklug.
Es dauert lange, Vertrauen aufzubauen, aber man kann es in einem einzigen Moment verspielen...
-
Apple hat den mit der iTunes-Version 6.02 eingeführten MiniStore nach Protesten von Datenschützern abgewandelt. Der im unteren Bereich der Musikbibliothek eingeblendete MiniStore sorgte für Ungemach, da er ungefragt die vom Nutzer über iTunes gespielten Titel per Internetverbindung an einen Server meldete, um zum jeweiligen Musikgeschmack passende Kaufvorschläge unterbreiten zu können. Der MiniStore war sofort beim ersten Start von iTunes aktiviert.
(http://www.heise.de/bilder/68542/0/0)
Inzwischen muss das Feature nach der iTunes-Installation vom Nutzer freigeschaltet werden. Ein Hinweistext klärt zudem darüber auf, dass beim Anwählen eines Titels die Titelinformationen an Apple gesandt wird. Zudem erfährt der Kunde, dass man den MiniStore "durch Klicken in dieser Taste" auch ausschalten kann.
Quelle und Links : http://www.heise.de/newsticker/meldung/68542
-
Ein Ohrwurm setzt sich in der Regel nur im Hörgang fest. Bei Anwendern von Apples iTunes kann er sich allerdings auch noch im PC einnisten und zwar über eine Sicherheitslücke beim Abspielen einer Musikdatei im AAC-Format. AAC-Musikstücke erkennt man an der Endung .M4A, M4P oder MP4. Ursache der Schwachstelle ist ein Integer Overflow, der beim Einlesen manipulierter Sample Tables (sample_size_table) auftritt.
Angreifer können mit manipulierten Dateien die Anwendung zum Absturz bringen, im schlimmsten Fall lässt sich darüber auch Code einschleusen und mit den Rechten des Anwenders ausführen – unter Windows meist der Administrator, unter Mac OS X in der Regel ein Anwender mit eingeschränkten Rechten. Ein Anwender muss allerdings immer noch selbst das Musikstück in Apples Player laden. Die Lücke ist in der iTunes-Version 6.0.5 für Windows und Mac OS X behoben.
Siehe dazu auch:
* About the security content of iTunes 6.0.5, Fehlerbericht von Apple
* Apple iTunes AAC File Parsing Integer Overflow Vulnerability, Fehlerbericht von Tipping Point
Quelle und Links : http://www.heise.de/security/news/meldung/74902
-
Apple hat die QuickTime-Version 7.6.4 für Mac OS X v10.4.11, Mac OS X v10.5.8, Windows 7, Vista und XP SP3 veröffentlicht. Sie schließt vier Sicherheitslücken, durch die ein Angreifer ein System infizieren kann. Dazu reicht es, dass ein Opfer eine präparierte Datei im H.264-, MPEG-4 oder FlixPix-Format öffnet. Eine derartige Datei kann etwa durch den Download von einem Film-Portal auf den Rechner gelangen.
Das Update für Mac OS X v10.4.11 und Mac OS X v10.5.8 ist 57 MByte groß. Anwender von Windows 7, Vista und Windows XP SP3 müssen 31 MByte herunterladen (http://support.apple.com/downloads/QuickTime_7_6_4_for_Windows).
Quelle : www.heise.de
-
Eine gefährliche Sicherheitslücke in Apples Multimediasoftware Quicktime kann über präparierte .mov-Dateien ausgenutzt werden. Fortinet schätzt die Gefährlichkeit des Problems als hoch ein und rät, das neue Quicktime zu installieren.
Der Quicktime Player von Apple ist anfällig für einen Pufferüberlauf. Das berichtet Security Focus in seinem Bugtraq. Anfällig für den Fehler, der mit .mov-Dateien auf Windows- und OSX-Plattformen ausgenutzt werden kann, sind der Apple Quicktime Player, Apple Quicktime, aber auch Apple iTunes.
Fast jede .mov-Datei könne die Lücke ausnutzen. Das Problem sei reproduzierbar, heißt es in Sicherheitsforen. Die Sicherheitslücke kann zur Kompromittierung des betroffenen Systems führen: Angreifer können über das Internet die Kontrolle über anfällige Systeme übernehmen, erklärt Fortinet. Fortinet schätzt die Gefährlichkeit des Problems als "hoch" ein. Die Sicherheitsexperten empfehlen, die neue Version der Multimediasoftware zu installieren, die bei Apple verfügbar ist.
Bei einem Pufferüberlauf werden in einer fehlerhaften Software zu große Datenmengen in einen reservierten Speicherbereich geschrieben, was das Überschreiben von Informationen im Speicher ermöglicht. Angreifer können so Zugang zu einem Rechner erlangen.
Neue Version installieren
Apple empfahl im September 2009, Quicktime 7.6.4 zu installieren, da die Version Sicherheitsprobleme beseitige. Zwei entdeckte Sicherheitslecks hingen mit Videodateien zusammen, die im H.264-Format codiert sind und präpariert wurden, um Schadsoftware einzuschleusen. Beim Abspielen eines solchen Videos konnte es zu einem Absturz und anschließender Codeausführung kommen. Dasselbe sei auch mit einem MPEG-4-Video möglich. Anfällig für Abstürze mit anschließender Codeausführung war Quicktime auch beim Betrachten von Flashpix-Dateien.
Quelle : www.golem.de
-
Apple hat QuickTime 7.6.6 für Windows 7, Vista und XP zum Download bereitgestellt. Darin sind 16 kritische Lücken beseitigt, die allesamt das Einschleusen und Ausführen von Code auf einem PC mit den Rechten des Nutzers ermöglichen. Dazu genügt es nach Angaben von Apple, präparierte Filme, Audiodateien oder Bilder zu öffnen. Unter Umständen genügt dazu bereits der Besuch einer manipulierten Webseite.
Für Mac OS X 10.5.8 steht ebenfalls ein QuickTime-Update bereit. In 10.6.x wurden die Probleme bereits mit dem gestrigen Update auf 10.6.3 behoben.
Quelle : www.heise.de
-
Apple hat iTunes in Version 9.2.1 veröffentlicht und schließt damit eine sicherheitsrelevante Schwachstelle: Mit manipulierten itpc:-URLs können Angreifer bei den Windows-Versionen einschließlich 9.2 einen Buffer Overflow provozieren und so beliebigen Code ausführen. Die Lücke kann man über das Netz ausnutzen, etwa in Form manipulierter Webseiten.
Auch Mac-Nutzer profitieren von dem Update: So hat Apple unter anderem ein Problem bei der Aktualisierung von iPod touch und iPhones auf iOS 4.0 beseitigt, das in Zusammenhang mit verschlüsselten Backups aufgetreten ist. Die erste Synchronisation soll nun bei bestimmten Geräten besser vonstatten gehen, zudem wurden veraltete und dadurch inkompatible Dritthersteller-Plug-ins deaktiviert.
Quelle : www.heise.de
-
Apple hat QuickTime 7.6.7 für Windows 7, Vista und XP veröffentlicht, um eine seit rund zwei Wochen bekannte Lücke zu schließen. Der Fehler findet sich in der Komponente QuickTimeStreaming.qtx; er soll beim Verarbeiten von SMIL-Dateien mit zu langer URL zu einem Buffer Overflow führen. Angreifer können dadurch Code in einen PC schleusen und starten. Unter Umständen genügt dazu auch bereits der Besuch einer präparierten Webseite.
Nach Angaben von Apple ist Mac OS X nicht von dem Fehler betroffen. Apple bietet die neue Windows-Version 7.6.7 bereits zum Download (http://www.apple.com/quicktime/download/) an, Anwender sollten jedoch darauf achten, nicht die mit iTunes gebündelte Version herunterzuladen – die enthält nämlich offenbar noch die verwundbare QuickTime-Version 7.6.6.
Quelle : www.heise.de
-
Der Download-Bereich von Apple iTunes wird momentan offenbar verstärkt von Cyberkriminellen ins Visier genommen. Betrügern gelang es - offenbar durch Phishing-Taktiken-, die PayPal-Accounts zahlreicher Benutzer missbräuchlich zur Bezahlung teurer Apps zu benutzen. Einigen Opfern entstand dabei ein Schaden von mehreren Tausend Euro.
In zahlreichen Social Networking-Diensten wie Facebook und Twitter tauchten mittlerweile Beschwerden über - teils sehr teure - unautorisierte PayPal-Buchungen auf, mit denen offenbar teure iPhone-Apps bezahlt wurden. PayPal gab an, über das Problem Bescheid zu wissen. Die Schwachstelle selbst liegt aber offenbar nicht bei PayPal. Auch iTunes scheint keine technischen Mängel aufzuweisen. Vielmehr sind die Angriffe den bisherigen Informationen nach auf erfolgreiche Phishing-Versuche zurückzuführen. Wer also nicht auf derartige Tricks hereinfällt, wird auch nicht zum Opfer. Allerdings sind heutige Phishing-Versuche oft sehr geschickt und gerade für in Sicherheitsdingen unwissende Benutzer nur schwer zu erkennen.
Apple-Sprecher Jason Roth erklärte, man sei sich des Problems bewusst. Offenbar wird an zusätzlichen Sicherheitsmaßnahmen gearbeitet. So wird momentan weitaus häufiger als sonst der Sicherheitscode der verwendeten Kreditkarte abgefragt.
Der Angriff funktioniert nicht nur mit Kreditkarten, sondern auch bei Verwendung von Click & Buy. Wirksamen Schutz bietet alleine die Aufklärung der Nutzer über das Problem und über sinnvolles, sicherheitsbewusstes Verhalten.
Quelle : www.gulli.com
-
Apples Quick Time Player weist offenbar eine ernstzunehmende Sicherheitslücke auf. Auf Windows-Systemen kann die Lücke ausgenutzt werden, um Schadcode auszuführen. Einen Patch gibt es bisher nicht. Schuld an den Problemen ist offenbar ein nicht genutzter Code-Parameter, der sich bereits seit 2001 im Quick Time-Quellcode befindet.
Technisch gesehen, so Experten, handelt es sich bei dem Problem um eine Backdoor. Es wird ein Parameter namens "_Marshaled_pUnk" ausgenutzt, der zum Quellcode hinzugefügt und als das betreffende Feature nicht mehr genutzt wurde nicht entfernt wurde. Der Parameter blieb scheinbar neun Jahre lang unentdeckt, bis der spanische Sicherheitsanalyst Ruben Santamarta ihn entdeckte und bemerkte, dass man über diesen Parameter die Kontrolle über einen Windows-PC übernehmen kann, da er es erlaubt, Schadcode in den Speicher zu laden. Offenbar kann damit auch Windows 7, Microsofts neuestes und als vergleichsweise sicher geltendes Betriebssystem, erfolgreich angegriffen werden. Auch die älteren Versionen Windows XP und Vista sind nachweislich betroffen.
Bedrohlich ist die Schwachstelle offenbar in Verbindung mit Anwendungen, die noch nicht das Sicherheitsfeature Address Space Layout Randomization (ASLR) nutzen. Indem deren Bibliotheken genutzt werden, kann ein versierter Angreifer den Schadcode im Speicher so platzieren, dass er erfolgreich ausgeführt werden kann. Zum Befremden von Sicherheitsexperten gibt es noch relativ viel Software darunter einige beliebte Programme - die dieses Feature nicht nutzen.
Der von Santamarte gepostete beispielhafte Exploit (http://reversemode.com/index.php?option=com_content&task=view&id=69&Itemid=1) funktioniert mit Hilfe des Windows Live Messengers und kann daher nur gegen Opfer angewendet werden, die diesen installiert haben. Santamarta erklärte aber, dass es auch möglich wäre, einen Exploit allein auf Basis bestimmter Quick Time-Funktionen durchzuführen. Beim Exploit-Framework Metasploit arbeiten einige Hacker und Penetration Tester offenbar momentan an einem solchen Exploit. Es ist anzunehmen, dass dieser im Laufe der nächsten Tage veröffentlicht wird.
Quelle : www.gulli.com
-
Neben der Integration neuer Funktionen wie des sozialen Netzwerks Ping hat Apple in iTunes 10 auch für mehr Sicherheit gesorgt. Dreizehn kritische Lücke hat der Hersteller in der Windows-Version gestopft, die sich allesamt in der Webkomponente WebKit finden.
Jede der Lücken lässt sich zum Einschleusen und Starten von Code über eine präparierte Webseite missbrauchen. Apple hat die gleichen Lücken bereits in seinen Browsern Safari 5.0.1 und 4.1.1 Ende Juli beseitigt, die ebenfalls WebKit zum Rendern von HTML-Seiten benutzen.
Daneben bietet iTunes nun die Möglichkeit via AirPlay, Musik per Funk direkt an passende Systeme etwa von Bowers & Wilkins, Denon und anderen Herstellern zu senden.
Quelle : www.heise.de
-
Apple hat QuickTime 7.6.8 für Windows veröffentlicht, das zwei kritische Sicherheitslücken schließt. Bei einer der Lücken handelt es sich um die Ende August vom Sicherheitsexperten Ruben Santamarta entdeckte Lücke im ActiveX-Plug-in von QuickTime: Ein undokumentierter Parameter ließ sich missbrauchen, um Schadcode einzuschleusen und zu starten.
Darüber löst das Update das seit nunmehr vier Wochen bekannte DLL-Schwachstelle unter Windows. Laut Apple ludt der QuickTime Picture Viewer nämlich in der Vorgaängerversion ebenfalls DLLs aus dem aktuellen Arbeitsverzeichnis nach. Das Update entfernt das Arbeitsverzeichnis aus der Liste der DLL-Suchpfade.
Das Update ist knapp 33 Mbyte groß. Im Bundle mit iTunes bietet Apple aber weiterhin nur die verwundbare Version 7.6.7 an.
Quelle : www.heise.de
-
Apple hat Quicktime 7.6.9 für Windows und Mac OS X veröffentlicht. Mit dem Update werden 15 Sicherheitslecks beseitigt, davon 14 gefährliche.
13 der 15 Sicherheitslücken betreffen die Windows- und Mac-OS-X-Version von Quicktime. Zwei Programmfehler treten nur in der Windows-Ausführung der Software auf. Die 14 als gefährlich einzustufenden Sicherheitslöcher können allesamt zur Ausführung beliebigen Programmcodes missbraucht werden. Angreifer müssen ihre Opfer lediglich dazu verleiten, präparierte Avi-, jp2-, Flashpix-, Gif-, Pict- oder QTVR-Dateien mit Quicktime zu öffnen. Die Programmfehler treten auch allgemein bei der Wiedergabe von Videodateien auf.
Eine der gefährlichen Sicherheitslücken, die zum Ausführen von Schadcode missbraucht werden kann, findet sich nur in der Windows-Version von Quicktime. Das weitere Sicherheitsloch in der Windows-Variante der Apple-Software kann zum Ausspähen vertraulicher Daten missbraucht werden. Damit dieses Sicherheitsloch ausgenutzt werden kann, muss sich der Angreifer lokal am System angemeldet haben, ein Angriff aus der Ferne ist nicht möglich.
Quicktime 7.6.9 (http://www.apple.com/quicktime/download/) steht für Windows XP, Vista und 7 sowie Mac OS X 10.5.8 kostenlos als Download zur Verfügung.
Quelle : www.golem.de
-
Apple hat die neue iTunes-Version 10.2 bereit gestellt, in der zahlreiche als kritisch einzustufende Sicherheitslücken behoben sind. Die Mehrzahl der Schwachstellen betreffen den integrierten Browser, der auf Webkit basiert.
Die neue iTunes-Version 10.2 für Windows ist vor allem ein Sicherheits-Update. Apple hat 57 Schwachstellen in drei iTunes-Komponenten beseitigt, von denen allein 50 im Webkit-basierten Browser stecken. Bei aller Aufregung um die Vorstellung des neuen iPad 2 sollten Anwender dieses Update umgehend installieren.
In der Komponente ImageIO hat Apple fünf Lücken geschlossen, von denen zwei auf die quelloffene Programmbibliothek libpng zurück gehen. In iTunes 10.2 steckt nun die Version 1.4.3 der libpng vom Juni 2010. Präparierte PNG-Bilder können zum Absturz führen, der es ermöglichen kann eingeschleusten Code auszuführen.Ähnliche Probleme haben bisherige iTunes-Versionen mit JPEG- und TIFF-Bildern. Drei nunmehr beseitigte Schwachstellen können es einem Angreifer ermöglichen Code einzuschleusen und auszuführen, wenn entsprechend vorbereitete Bilddateien in einer anfälligen iTunes-Version angezeigt werden.
Die Programmbibliothek libxml trägt zwei Sicherheitslücken bei, die mit Hilfe speziell präparierter XML-Dateien zum Programmabsturz führen können. Angreifer, die diese Schwachstellen erfolgreich ausnutzen, könnten schädlichen Code mit den Rechten des Benutzers ausführen.
Der in iTunes integrierte Web-Browser könnte beim Besuch des iTunes-Store via iTunes einen so genannten Man-in-the-Middle-Angriff erlauben. Der wie Safari und Chrome auf Webkit basierende Browser enthält 50 dokumentierte Sicherheitslücken, die sich im Zuge dessen ausnutzen lassen, um beliebigen Code einzuschleusen.
Soweit bekannt, hat Google diese Lücken in Chrome bereits behoben. Ob Apple noch vor dem Hackerwettbewerb Pwn2own, der am 9. März beginnt, ein Update für seinen Web-Browser Safari bereit stellen wird, ist zurzeit noch nicht bekannt.
Quelle : www.tecchannel.de
-
Seit Wochen berichten iTunes-Nutzer verstärkt von unerklärlichen Abbuchungen - aus Apps, die sie nie installiert haben und die von renommierten Unternehmen wie Sega stammen. Nun wird vermutet, dass iTunes selbst gehackt worden ist.
Im Apple-Diskussionsforum und im iTunes Store berichten Nutzer seit einigen Wochen davon, dass mit ihren Accounts Käufe getätigt wurden. Auch einen Redakteur von Betanews hat es erwischt, fast 100 US-Dollar wurde er so an einem Abend los. Bei vielen Betroffenen wurden in den iTunes-Rechnungen Abbuchungen für In-App-Käufe aus Segas Kingdom Conquest gelistet, obwohl sie es laut eigenen Angaben nicht installiert hatten.
Zumindest ein Teil der Nutzer gab auch an, sichere Passwörter verwendet zu haben, die sich nicht einfach mit Wörterbuchangriffen knacken lassen. In den meisten Fällen hat Apple das Geld offenbar nach den Beschwerden der Nutzer kommentarlos nach einigen Tagen zurückerstattet. Auch auf Anfragen seitens der Presse hat sich Apple bisher nicht zu den Vorfällen geäußert.
Lediglich Sega hat bereits im Kingdom-Conquest-Forum erklärt, keine Schuld zu tragen und auch gar keine Kundeninformationen übermittelt zu bekommen. Die Betroffenen werden deshalb von Sega gebeten, sich im Problemfall direkt an Apple zu wenden. Da Kingdom Conquest zudem ein beliebtes Spiel ist, ist es für Sega vermutlich schwer herauszufinden, ob ein Teil von Käufen unerwünscht erfolgte - wenn das Geld denn überhaupt bei Sega landete.
Es muss sich also nicht um die üblichen Account-Hacks handeln, da hier normalerweise auch Betrüger die Nutznießer der Transaktionen sind - und nicht offensichtlich unbeteiligte Unternehmen wie Sega. Möglich wäre es, dass die In-App-Abrechnung ein Problem hat - oder dass iTunes selbst gehackt wurde.
Das würde dann auch erklären, warum laut iTunes-Kundenberichten sichere Passwörter nichts halfen - laut Betanews-Redakteur Ed Oswald wurde weiter abgebucht, nachdem er sein Passwort und seine E-Mail-Adresse geändert und Paypal als Zahlungsmittel entfernt hatte. Allerdings kommen die iTunes-Kaufbestätigungen nach Erfahrungen von Golem.de immer etwas verzögert an, so dass die Änderungen auch einfach zu spät erfolgt sein könnten.
Falls iTunes gehackt wurde, könnte die Kaufhistorie absichtlich verfälscht worden sein, um zu verschleiern, wohin das Geld von den Accounts wirklich geht. Das sind jedoch bisher nur Spekulationen, solange Apple selbst sich nicht äußert.
Quelle : www.golem.de
-
Apple hat Quicktime auf Version 7.7 aktualisiert und will damit 14 sicherheitsrelevante Probleme lösen. Das Update betrifft sowohl Windows als auch Mac OS X.
Quicktime 7.7 steht für Mac OS X ab 10.5.8 und Windows XP, Windows Vista und Windows 7 zum Download bereit. Drei der gefundenen Fehler betreffen ausschließlich die Windows-Ausgabe des Programms.
Vor Quicktime 7.7 konnte ein Buffer-Overflow oder ein Programmabsturz des Players mit manipulierten Bildern in den Formaten PICT, JPEG2000 und GIF provoziert und dann Schadecode ausgeführt werden. Auch bei Filmen im H.264-Format und WAV-Dateien kam es zu sicherheitsrelevanten Problemen.
Weitere Details hat Apple in seiner Knowledgebase veröffentlicht. Quicktime kann unter Mac OS X über die Softwareaktualisierung eingespielt werden. Für Windows steht ebenfalls ein Download zur Verfügung.
Quelle : www.golem.de
-
Nutzer der Windows-Version von QuickTime sollten einen Blick in Apples Softwareaktualisierung werfen: Der Computerkonzern hat in der Nacht zum Mittwoch Version 7.7.2 (http://support.apple.com/kb/HT5261) seines Multimedia-Wiedergabesystems online gestellt. Das Update ist für Windows XP SP2, Vista und 7 gedacht und schließt insgesamt 17 Sicherheitslücken.
(http://www.heise.de/imgs/18/8/4/1/0/7/3/acdc784152334eac.jpeg)
Dazu gehören unter anderem Heap-, Buffer-, Stack- und Integer-Overflows, die manipulierten Dateien das Ausführen von Code ermöglichen könnten. Exploits soll es bislang aber noch nicht geben. Nähere Details zu den behobenen Fehlern finden sich in einem Supportdokument (http://support.apple.com/kb/HT5261).
Quelle : www.heise.de
-
Apple hat die Windows-Ausgabe seines Multimedia-Abspielsystems Quicktime auf Version 7.7.3 aktualisiert. Die neue Ausgabe behebt zahlreiche kritische Sicherheitslücken.
Bei den Schwachstellen handelt es sich unter anderem um einen Pufferüberlauf bei der Verarbeitung von MP4-Videodateien. Ein Angreifer kann spezielle Videos präparieren, die den Rechner beim Öffnen mit Schadcode infizieren. Windows-Nutzer, die Quicktime auf ihrem System installiert haben, sollten das Update daher besser umgehend installieren
Quelle und Links : http://www.heise.de/security/meldung/Apple-patcht-Quicktime-fuer-Windows-1746425.html
-
Insgesamt zwölf Sicherheitslücken schließt die neue Quicktime-Version 7.7.4 für Windows. Bei allen handelt es sich um kritische Fehler bei der Verwaltung von Speicher, die letztlich dazu führen können, dass etwa beim Versuch, einen Film mit Quicktime anzuschauen, fremder Code ausgeführt wird – also das System beispielsweise mit Spyware infiziert wird.
Betroffen sind die Dateiformate MP3, H.263, H.264, TeXML, JPEG, QTIF, Sorenson Video und FPX und die Behandlung spezieller Movie Atoms (dref, enof und mvhd). Alle Lücken wurden Apple über die Zero Day Initiative mitgeteilt, die Security-Experten dafür Prämien auszahlt; allein fünf davon haben Tom Gallagher und Paul Bates von Microsoft entdeckt.
Apples Security Advisory soll demnächst auf der Security-Seite erscheinen; der Download der aktuellen Quicktime-Version 7.7.4 ist allerdings schon möglich.
Quelle : www.heise.de (http://www.heise.de/security/meldung/Apple-fixt-Quicktime-Loecher-im-Dutzend-1868245.html)
-
Nachgebaute iTunes-Seiten locken zur Installation der vermeintlichen Apple-Software – stattdessen erhält der Nutzer Malware. Prominent platzierte Suchmaschinenwerbung zum Begriff "iTunes" dient als Zubringer.
(http://3.f.ix.de/imgs/18/1/1/8/5/3/1/2/Bing_iTunes_Malware-92064251cb618f5e.png)
Die Suche nach "iTunes" in Microsofts Suchmaschine Bing liefert derzeit als erste Treffer Links auf verschiedene Seiten, die vorgeben, Apples Medien-Software zum Download bereitzuhalten. Eine der prominent platzierten Suchmaschinen-Anzeigen spiegelt beispielsweise vor, auf www.itunes.com zu verlinken – führt stattdessen jedoch auf eine exakte Nachbildung von Apples deutscher iTunes-Download-Seite.
Installiert ein dadurch in die Irre geführter Nutzer die dort angebotene vermeintliche iTunes-Version, fängt er sich stattdessen Malware ein – darunter laut einer Analyse von Virustotal beispielsweise die Adware OutBrowse.
Im Moment scheint sich die unerwünschte Software nur an Windows-Nutzer zu richten, auch der Download der vorgeblichen Mac-Version von iTunes mit einem OS-X-Browser führt lediglich zu einer .exe-Datei – Mac-Nutzer sollten die Installation von Software aus unklarer Quelle aber ebenfalls grundsätzlich vermeiden.
Wieso derartige Anzeigen über einen längeren Zeitraum bei Bing erscheinen können, bleibt unklar – eine Stellungnahme von Microsoft steht noch aus. Einem Bericht zufolge tauchte derartige iTunes-Suchmaschinenwerbung zwischenzeitlich auch in Googles "gesponsorten Suchergebnissen" auf.
Quelle : www.heise.de
-
Das Multimedia-Plug-in enthält in der letzten Version 7.7.7 mehrere problematische Sicherheitslücken. Ein Update soll diese stopfen.
Wer iTunes unter Windows verwendet, bekommt automatisch auch Apples Multimedia-Codec-Suite QuickTime mitinstalliert. Wie das Unternehmen nun auf seiner Support-Website warnt (https://support.apple.com/en-us/HT205046), enthält die Version 7.7.7 des Plug-ins mehrere Sicherheitslücken. Aus diesem Grund wurde ein Update auf Version 7.7.8 publiziert. Es steht über die Apple-Update-Anwendung in Windows zum Download bereit, im Web gibt es derzeit nur die alte Version.
Laut Apple war es in QuickTime 7.7.7 Angreifern unter Windows möglich, aufgrund von Speicherfehlern unerwünschten Code auszuführen oder zumindest einen Absturz zu produzieren. In seinen Release Notes erwähnt Apple insgesamt neun verschiedene CVE-IDs. Die meisten Lücken wurden von Cisco Talos entdeckt, eine einzige auch von Apple selbst. Der QuickTime-7.7.8-Installer ist als Einzeldownload knapp 40 MByte groß.
Quelle : www.heise.de