Thema: Apple Itunes/QuickTime

[SiLæncer]

Instant Messenger wie der AIM dienen seit einiger Zeit auch zur Verbreitung von Viren und Würmern. Oft - und auch in diesem Fall - wird eine Download-Adresse über einen Messenger-Dienst verbreitet. Hier ist es der von AOL. Klickt ein Empfänger neugierig auf den Link, lädt er sich eine Datei herunter, die einen Schädling enthält.

Die per AIM verbreitete Nachricht lautet "this picture never gets old". Das Wort "old" ist als Link ausgeführt, der scheinbar auf eine Bilddatei im JPEG-Format zeigt. Tatsächlich lädt man sich damit einen Wurm aus der Opanki-Familie herunter. Dieser kopiert sich als "itunes.exe" in das Windows-Verzeichnis (%windir%). Dann trägt er sich in die Registry ein, damit er beim Starten von Windows automatisch geladen wird:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Itunes = %windir%\itunes.exe

Offensichtlich soll diese Namensgebung den Eindruck erwecken, es handele sich um Apples Musik-Software. Der Schädling kontaktiert über den TCP-Port 4888 einen IRC-Server und holt sich Instruktionen. Er lädt ein dann ein Trojanisches Pferd herunter und installiert insgesamt vier Adware-Programme.

Bei Trend Micro ist dieser Wurm als "Opanki.Y" bekannt, Symantecs Norton Antivirus meldet mit neuestem Update " W32.Opanki.D ".

Quelle und Links : http://www.pcwelt.de/news/sicherheit/116379/index.html

[SiLæncer]

Tom Ferris hat eine Lücke in Apples Quicktime- und iTunes-Software für Mac OS X und Windows entdeckt, über die Angreifer mit manipulierten .mov-Dateien möglicherweise Code einschleusen und zur Ausführung bringen könnten. In seiner Sicherheitsmeldung stellt er auch gleich zwei präparierte .mov-Dateien bereit, die den Fehler demonstrieren.

Laut Ferris betrifft der Fehler die aktuellen Versionen 7.0.3 von Quicktime und iTunes 6.0.1 sowohl auf Mac OS X als auch auf Windows. Ältere Versionen seien höchstwahrscheinlich auch anfällig. Die Demonstrations-Dateien verursachten dem Entdecker zufolge einen Buffer Overflow auf dem Heap, über den unter Umständen auch Code eingeschleust werden könnte.

Der Softwarehersteller wurde inzwischen informiert; ein Bugfix steht aber noch aus. Bis zur Veröffentlichung von fehlerbereinigten Paketen durch Apple sollten Anwender von Quicktime und iTunes keine .mov-Dateien aus zweifelhaften Quellen mit der Software abspielen.

Siehe dazu auch:

    * Apple QuickTime 7.0.3 & iTunes 6.0.1 Heap Overflow, Security Advisory von Tom Ferris
    * Sicherheits-Updates-Seite von Apple

Quelle und Links : http://www.heise.de/newsticker/meldung/67646

[SiLæncer]

Die Musikzuspiel- und Verwaltungs-Software für Apples portable Musikplayer der iPod-Serie tut es dem Spielberg'schen Alien ET gleich und telefoniert in der aktuellen Version iTunes 6.0.2 nach Hause. Problematisch ist dabei, dass in der Software-Lizenz, die Anwender bei der Installation akzeptieren müssen, dieses Verhalten mit keiner Silbe erwähnt wird.

Die iTunes-Software enthält unterhalb der Medienbibliothek ein Anzeigeelement, den MiniStore. Dort blendet Apple Alben aus seinem Online-Store ein, die der aktuell gelauschten Musik ähnlich sind. Hierzu überträgt die Software nur den Interpreten aus dem ID3-Tag der gehörten Stücke an einen Server, wie Eric Bangeman von Ars Technica untersucht hat. Der Server sucht auf Grund dieser Angaben die Alben dieses Künstlers und weitere ähnliche heraus.

iTunes lässt sich aber sehr einfach von seiner Telefonsucht befreien. Den Ministore können Benutzer etwa über den kleinen Knopf zur Linken der Equalizer-Einstellungen abschalten. Betätigt der Anwender diesen, hat der Spuk ein Ende – fortan überträgt die Software keine Hörgewohnheiten des Anwenders mehr.

Siehe dazu auch:

    * MiniStore in iTunes 6.0.2 comes with privacy concerns von Eric Bangeman auf Ars Technica

Quelle und Links : http://www.heise.de/newsticker/meldung/68245

[SiLæncer]

[Update]:
Apple erwähnt in der EULA zu iTunes lediglich die Übertragung von Daten an CDDB-Server zur Abfrage von Albeninformationen. Ein Dokument von Apple beschreibt das Abschalten des Ministores – und erwähnt auch, dass dazu Informationen an den Apple Store übertragen werden. Nach deutschem Recht ist es allerdings nicht zulässig, Daten ohne vorherige Einwilligung der Benutzer zu übertragen.

Quelle : www.heise.de

[SiLæncer]

Was Apple über die "phone home"-Funktion in iTunes über seine Kunden erfährt, interessiert die Firma gar nicht: Solche Informationen würden nicht gespeichert, behauptet ein Firmensprecher - Gerüchten zufolge Steve Jobs in Person. Derweil prophezeit Sun-Chef McNealy das Ende des iPod.

Die Entdeckung, dass die neue Version der iTunes-Software Informationen darüber, welche Musik der Nutzer gerade spielt, an einen Server bei Apple überträgt, hat einigen Staub aufgewirbelt. Mit solchen in Hinsicht auf den Datenschutz bedenklichen "phone home"-Funktionen hatte sich einst Microsoft mächtig unbeliebt gemacht - für Apple-Anhänger bekanntlich das absolute Gegenbild zur "Appleigkeit". Das nun auch die Guten aus Cupertino sich solcher Methoden erkecken, trifft manchen Fan hart.

>Alles halb so wild, beschwichtigte da schnell ein nicht identifizierter Firmensprecher gegenüber der "PC World" - und schneller noch verbreitete sich das Gerücht, dieser Sprecher sei niemand anderes als Steve Jobs persönlich. Will heißen: Wenn der das sagt, dann muss das wahr sein, denn "his Steveness" (etwa: "seine Stevigkeit") gilt als Messias der Apple-Gemeinde - und an dem zweifelt man nicht.

Bei dem so genannten "MiniStore feature", erklärt nun die "Macworld", handele es sich um ein reine Waren-Empfehlungsmethode, wie sie zum Beispiel auch von Amazon und anderen Händlern eingesetzt werden ("Wer dieses Buch kaufte, interessierte sich auch für..."). Wörtlich heißt es in dem Artikel, der nach dem Anruf des nicht indentifizierten Sprechers "auf den neuesten Stand gebracht wurde": "Um das zu können, muss der Music Store offensichtlich wissen, was man sich gerade anhört. Er bekommt diese Information jedes Mal, wenn man ein Lied per Doppelklick aufruft."

Und zwar tatsächlich ohne, dass der Nutzer zuvor sein Einverständnis abgegeben hätte, betont die "Macworld". Obwohl, wie Experten inzwischen bestätigen, das "phone home"-Feature leicht zu deaktivieren ist, ist die Verstimmung groß in Apple-Land.

Hier die Anleitung: Auf dem Mac reicht die Tastenkombination "Shift-Command-M", deaktivieren lässt sich das feature auch über das Bearbeiten-Menü: Minstore deaktivieren - und fort ist der Spuk.

McNealys Visionen: iPods Ende

Fort, glaubt derweil der bekennende Apple-Fan Scott McNealy, hauptberuflich Chef von Sun Microsystems, könnte bald auch der iPod sein. Die Zeit des erfolgreichsten Music-Players gehe ihrem Ende entgegen, glaubt McNealy, denn in fünf Jahren sei Musik noch weniger als heute an einen Speicherort gebunden. In den Netzen, sagt der Sun-Chef voraus, werden wir alle unsere Musik speichern, und sie gerade da abrufen, wo wir uns jeweils befinden.

Scott McNealy: "Dein iPod ist wie ein Anrufbeantworter. Es ist eine vergängliches Konzept. Es wird hart, noch eine Menge iPods zu verkaufen wenn in fünf Jahren jedes Handy in der Lage sein wird, die persönliche Musikbibliothek abzugreifen, wo man auch gerade ist."

Dass Steve Jobs ob solcher Prophezeiungen der Angstschweiß auf die Stirn tritt, braucht man derweil kaum zu fürchten. Apple hat im letzten Weihnachtsgeschäft mehr iPods abgesetzt als je zuvor, und zudem kennt er McNealys Steckenpferde: Seit Mitte der Neunziger prophezeit McNealy in regelmäßigen Abständen das Kommen der "Server-based-Applications".

McNealys Vision der technologischen Zukunft geht davon aus, dass über das Netz angesteuerte Dienstprogramme und Datenbestände Betriebssysteme, autonome PCs und feste "Datenverarbeitungs-Orte" ersetzen werden. Eine naheliegende Vision, wenn man Chef von Sun ist: Genau für solche Zwecke ließ Sun einst Java entwickeln. Natürlich hofft McNealy, dass sein Unternehmen mit Servern und Software an vorderster Front dabei sein wird, wenn es soweit kommt.

Oder sollte man sagen falls?

Quelle : www.spiegel.de

[Jürgen]

"Niemand hat die Absicht, eine Mauer zu errichten"

...aber was ist morgen oder übermorgen ? ? ?

Klarer Fall, sowas gehört sich nicht und ist unklug.
Es dauert lange, Vertrauen aufzubauen, aber man kann es in einem einzigen Moment verspielen...

[SiLæncer]

Apple hat den mit der iTunes-Version 6.02 eingeführten MiniStore nach Protesten von Datenschützern abgewandelt. Der im unteren Bereich der Musikbibliothek eingeblendete MiniStore sorgte für Ungemach, da er ungefragt die vom Nutzer über iTunes gespielten Titel per Internetverbindung an einen Server meldete, um zum jeweiligen Musikgeschmack passende Kaufvorschläge unterbreiten zu können. Der MiniStore war sofort beim ersten Start von iTunes aktiviert.

Inzwischen muss das Feature nach der iTunes-Installation vom Nutzer freigeschaltet werden. Ein Hinweistext klärt zudem darüber auf, dass beim Anwählen eines Titels die Titelinformationen an Apple gesandt wird. Zudem erfährt der Kunde, dass man den MiniStore "durch Klicken in dieser Taste" auch ausschalten kann.

Quelle und Links : http://www.heise.de/newsticker/meldung/68542

[SiLæncer]

Ein Ohrwurm setzt sich in der Regel nur im Hörgang fest. Bei Anwendern von Apples iTunes kann er sich allerdings auch noch im PC einnisten und zwar über eine Sicherheitslücke beim Abspielen einer Musikdatei im AAC-Format. AAC-Musikstücke erkennt man an der Endung .M4A, M4P oder MP4. Ursache der Schwachstelle ist ein Integer Overflow, der beim Einlesen manipulierter Sample Tables (sample_size_table) auftritt.

Angreifer können mit manipulierten Dateien die Anwendung zum Absturz bringen, im schlimmsten Fall lässt sich darüber auch Code einschleusen und mit den Rechten des Anwenders ausführen – unter Windows meist der Administrator, unter Mac OS X in der Regel ein Anwender mit eingeschränkten Rechten. Ein Anwender muss allerdings immer noch selbst das Musikstück in Apples Player laden. Die Lücke ist in der iTunes-Version 6.0.5 für Windows und Mac OS X behoben.

Siehe dazu auch:

    * About the security content of iTunes 6.0.5, Fehlerbericht von Apple
    * Apple iTunes AAC File Parsing Integer Overflow Vulnerability, Fehlerbericht von Tipping Point

Quelle und Links : http://www.heise.de/security/news/meldung/74902

[SiLæncer]

Apple hat die QuickTime-Version 7.6.4 für Mac OS X v10.4.11, Mac OS X v10.5.8, Windows 7, Vista und XP SP3 veröffentlicht. Sie schließt vier Sicherheitslücken, durch die ein Angreifer ein System infizieren kann. Dazu reicht es, dass ein Opfer eine präparierte Datei im H.264-, MPEG-4 oder FlixPix-Format öffnet. Eine derartige Datei kann etwa durch den Download von einem Film-Portal auf den Rechner gelangen.

Das Update für Mac OS X v10.4.11 und Mac OS X v10.5.8 ist 57 MByte groß. Anwender von Windows 7, Vista und Windows XP SP3 müssen 31 MByte herunterladen.

Quelle : www.heise.de

[SiLæncer]

Eine gefährliche Sicherheitslücke in Apples Multimediasoftware Quicktime kann über präparierte .mov-Dateien ausgenutzt werden. Fortinet schätzt die Gefährlichkeit des Problems als hoch ein und rät, das neue Quicktime zu installieren.
Der Quicktime Player von Apple ist anfällig für einen Pufferüberlauf. Das berichtet Security Focus in seinem Bugtraq. Anfällig für den Fehler, der mit .mov-Dateien auf Windows- und OSX-Plattformen ausgenutzt werden kann, sind der Apple Quicktime Player, Apple Quicktime, aber auch Apple iTunes.

Fast jede .mov-Datei könne die Lücke ausnutzen. Das Problem sei reproduzierbar, heißt es in Sicherheitsforen. Die Sicherheitslücke kann zur Kompromittierung des betroffenen Systems führen: Angreifer können über das Internet die Kontrolle über anfällige Systeme übernehmen, erklärt Fortinet. Fortinet schätzt die Gefährlichkeit des Problems als "hoch" ein. Die Sicherheitsexperten empfehlen, die neue Version der Multimediasoftware zu installieren, die bei Apple verfügbar ist.

Bei einem Pufferüberlauf werden in einer fehlerhaften Software zu große Datenmengen in einen reservierten Speicherbereich geschrieben, was das Überschreiben von Informationen im Speicher ermöglicht. Angreifer können so Zugang zu einem Rechner erlangen.

Neue Version installieren

Apple empfahl im September 2009, Quicktime 7.6.4 zu installieren, da die Version Sicherheitsprobleme beseitige. Zwei entdeckte Sicherheitslecks hingen mit Videodateien zusammen, die im H.264-Format codiert sind und präpariert wurden, um Schadsoftware einzuschleusen. Beim Abspielen eines solchen Videos konnte es zu einem Absturz und anschließender Codeausführung kommen. Dasselbe sei auch mit einem MPEG-4-Video möglich. Anfällig für Abstürze mit anschließender Codeausführung war Quicktime auch beim Betrachten von Flashpix-Dateien.

Quelle : www.golem.de

[SiLæncer]

Apple hat QuickTime 7.6.6  für Windows 7, Vista und XP zum Download bereitgestellt. Darin sind 16 kritische Lücken beseitigt, die allesamt das Einschleusen und Ausführen von Code auf einem PC mit den Rechten des Nutzers ermöglichen. Dazu genügt es nach Angaben von Apple, präparierte Filme, Audiodateien oder Bilder zu öffnen. Unter Umständen genügt dazu bereits der Besuch einer manipulierten Webseite.

Für Mac OS X 10.5.8 steht ebenfalls ein QuickTime-Update bereit. In 10.6.x wurden die Probleme bereits mit dem gestrigen Update auf 10.6.3 behoben.

Quelle : www.heise.de

[SiLæncer]

Apple hat iTunes in Version 9.2.1 veröffentlicht  und schließt damit eine sicherheitsrelevante Schwachstelle: Mit manipulierten itpc:-URLs können Angreifer bei den Windows-Versionen einschließlich 9.2 einen Buffer Overflow provozieren und so beliebigen Code ausführen. Die Lücke kann man über das Netz ausnutzen, etwa in Form manipulierter Webseiten.

Auch Mac-Nutzer profitieren von dem Update: So hat Apple unter anderem ein Problem bei der Aktualisierung von iPod touch und iPhones auf iOS 4.0 beseitigt, das in Zusammenhang mit verschlüsselten Backups aufgetreten ist. Die erste Synchronisation soll nun bei bestimmten Geräten besser vonstatten gehen, zudem wurden veraltete und dadurch inkompatible Dritthersteller-Plug-ins deaktiviert.

Quelle : www.heise.de

[SiLæncer]

Apple hat QuickTime 7.6.7 für Windows 7, Vista und XP veröffentlicht, um eine seit rund zwei Wochen bekannte  Lücke zu schließen. Der Fehler findet sich in der Komponente QuickTimeStreaming.qtx; er soll beim Verarbeiten von SMIL-Dateien mit zu langer URL zu einem Buffer Overflow führen. Angreifer können dadurch Code in einen PC schleusen und starten. Unter Umständen genügt dazu auch bereits der Besuch einer präparierten Webseite.

Nach Angaben von Apple ist Mac OS X nicht von dem Fehler betroffen. Apple bietet die neue Windows-Version 7.6.7 bereits zum Download an, Anwender sollten jedoch darauf achten, nicht die mit iTunes gebündelte Version herunterzuladen – die enthält nämlich offenbar noch die verwundbare QuickTime-Version 7.6.6.

Quelle : www.heise.de

[SiLæncer]

Der Download-Bereich von Apple iTunes wird momentan offenbar verstärkt von Cyberkriminellen ins Visier genommen. Betrügern gelang es - offenbar durch Phishing-Taktiken-, die PayPal-Accounts zahlreicher Benutzer missbräuchlich zur Bezahlung teurer Apps zu benutzen. Einigen Opfern entstand dabei ein Schaden von mehreren Tausend Euro.

In zahlreichen Social Networking-Diensten wie Facebook und Twitter tauchten mittlerweile Beschwerden über - teils sehr teure - unautorisierte PayPal-Buchungen auf, mit denen offenbar teure iPhone-Apps bezahlt wurden. PayPal gab an, über das Problem Bescheid zu wissen. Die Schwachstelle selbst liegt aber offenbar nicht bei PayPal. Auch iTunes scheint keine technischen Mängel aufzuweisen. Vielmehr sind die Angriffe den bisherigen Informationen nach auf erfolgreiche Phishing-Versuche zurückzuführen. Wer also nicht auf derartige Tricks hereinfällt, wird auch nicht zum Opfer. Allerdings sind heutige Phishing-Versuche oft sehr geschickt und gerade für in Sicherheitsdingen unwissende Benutzer nur schwer zu erkennen.

Apple-Sprecher Jason Roth erklärte, man sei sich des Problems bewusst. Offenbar wird an zusätzlichen Sicherheitsmaßnahmen gearbeitet. So wird momentan weitaus häufiger als sonst der Sicherheitscode der verwendeten Kreditkarte abgefragt.

Der Angriff funktioniert nicht nur mit Kreditkarten, sondern auch bei Verwendung von Click & Buy. Wirksamen Schutz bietet alleine die Aufklärung der Nutzer über das Problem und über sinnvolles, sicherheitsbewusstes Verhalten.

Quelle : www.gulli.com

[SiLæncer]

Apples Quick Time Player weist offenbar eine ernstzunehmende Sicherheitslücke auf. Auf Windows-Systemen kann die Lücke ausgenutzt werden, um Schadcode auszuführen. Einen Patch gibt es bisher nicht. Schuld an den Problemen ist offenbar ein nicht genutzter Code-Parameter, der sich bereits seit 2001 im Quick Time-Quellcode befindet.

Technisch gesehen, so Experten, handelt es sich bei dem Problem um eine Backdoor. Es wird ein Parameter namens "_Marshaled_pUnk" ausgenutzt, der zum Quellcode hinzugefügt und als das betreffende Feature nicht mehr genutzt wurde nicht entfernt wurde. Der Parameter blieb scheinbar neun Jahre lang unentdeckt, bis der spanische Sicherheitsanalyst Ruben Santamarta ihn entdeckte und bemerkte, dass man über diesen Parameter die Kontrolle über einen Windows-PC übernehmen kann, da er es erlaubt, Schadcode in den Speicher zu laden. Offenbar kann damit auch Windows 7, Microsofts neuestes und als vergleichsweise sicher geltendes Betriebssystem, erfolgreich angegriffen werden. Auch die älteren Versionen Windows XP und Vista sind nachweislich betroffen.

Bedrohlich ist die Schwachstelle offenbar in Verbindung mit Anwendungen, die noch nicht das Sicherheitsfeature Address Space Layout Randomization (ASLR) nutzen. Indem deren Bibliotheken genutzt werden, kann ein versierter Angreifer den Schadcode im Speicher so platzieren, dass er erfolgreich ausgeführt werden kann. Zum Befremden von Sicherheitsexperten gibt es noch relativ viel Software darunter einige beliebte Programme - die dieses Feature nicht nutzen.

Der von Santamarte gepostete beispielhafte Exploit funktioniert mit Hilfe des Windows Live Messengers und kann daher nur gegen Opfer angewendet werden, die diesen installiert haben. Santamarta erklärte aber, dass es auch möglich wäre, einen Exploit allein auf Basis bestimmter Quick Time-Funktionen durchzuführen. Beim Exploit-Framework Metasploit arbeiten einige Hacker und Penetration Tester offenbar momentan an einem solchen Exploit. Es ist anzunehmen, dass dieser im Laufe der nächsten Tage veröffentlicht wird.

Quelle : www.gulli.com