Thema: Apple Itunes/QuickTime

[SiLæncer]

Neben der Integration neuer Funktionen wie des sozialen Netzwerks Ping hat Apple in iTunes 10 auch für mehr Sicherheit gesorgt. Dreizehn kritische Lücke hat der Hersteller in der Windows-Version gestopft, die sich allesamt in der Webkomponente WebKit finden.

Jede der Lücken lässt sich zum Einschleusen und Starten von Code über eine präparierte Webseite missbrauchen. Apple hat die gleichen Lücken bereits in seinen Browsern Safari 5.0.1 und 4.1.1 Ende Juli beseitigt, die ebenfalls WebKit zum Rendern von HTML-Seiten benutzen.

Daneben bietet iTunes nun die Möglichkeit via AirPlay, Musik per Funk direkt an passende Systeme etwa von Bowers & Wilkins, Denon und anderen Herstellern zu senden.

Quelle : www.heise.de

[SiLæncer]

Apple hat QuickTime 7.6.8 für Windows veröffentlicht, das zwei kritische Sicherheitslücken schließt. Bei einer der Lücken handelt es sich um die Ende August vom Sicherheitsexperten Ruben Santamarta entdeckte  Lücke im ActiveX-Plug-in von QuickTime: Ein undokumentierter Parameter ließ sich missbrauchen, um Schadcode einzuschleusen und zu starten.

Darüber löst das Update das seit nunmehr vier Wochen bekannte DLL-Schwachstelle unter Windows. Laut Apple ludt der QuickTime Picture Viewer nämlich in der Vorgaängerversion ebenfalls DLLs aus dem aktuellen Arbeitsverzeichnis nach. Das Update entfernt das Arbeitsverzeichnis aus der Liste der DLL-Suchpfade.

Das Update ist knapp 33 Mbyte groß. Im Bundle mit iTunes bietet Apple aber weiterhin nur die verwundbare Version 7.6.7 an.

Quelle : www.heise.de

[SiLæncer]

Apple hat Quicktime 7.6.9 für Windows und Mac OS X veröffentlicht. Mit dem Update werden 15 Sicherheitslecks beseitigt, davon 14 gefährliche.

13 der 15 Sicherheitslücken betreffen die Windows- und Mac-OS-X-Version von Quicktime. Zwei Programmfehler treten nur in der Windows-Ausführung der Software auf. Die 14 als gefährlich einzustufenden Sicherheitslöcher können allesamt zur Ausführung beliebigen Programmcodes missbraucht werden. Angreifer müssen ihre Opfer lediglich dazu verleiten, präparierte Avi-, jp2-, Flashpix-, Gif-, Pict- oder QTVR-Dateien mit Quicktime zu öffnen. Die Programmfehler treten auch allgemein bei der Wiedergabe von Videodateien auf.

Eine der gefährlichen Sicherheitslücken, die zum Ausführen von Schadcode missbraucht werden kann, findet sich nur in der Windows-Version von Quicktime. Das weitere Sicherheitsloch in der Windows-Variante der Apple-Software kann zum Ausspähen vertraulicher Daten missbraucht werden. Damit dieses Sicherheitsloch ausgenutzt werden kann, muss sich der Angreifer lokal am System angemeldet haben, ein Angriff aus der Ferne ist nicht möglich.

Quicktime 7.6.9 steht für Windows XP, Vista und 7 sowie Mac OS X 10.5.8 kostenlos als Download zur Verfügung.

Quelle : www.golem.de

[SiLæncer]

Apple hat die neue iTunes-Version 10.2 bereit gestellt, in der zahlreiche als kritisch einzustufende Sicherheitslücken behoben sind. Die Mehrzahl der Schwachstellen betreffen den integrierten Browser, der auf Webkit basiert.

Die neue iTunes-Version 10.2 für Windows ist vor allem ein Sicherheits-Update. Apple hat 57 Schwachstellen in drei iTunes-Komponenten beseitigt, von denen allein 50 im Webkit-basierten Browser stecken. Bei aller Aufregung um die Vorstellung des neuen iPad 2 sollten Anwender dieses Update umgehend installieren.

In der Komponente ImageIO hat Apple fünf Lücken geschlossen, von denen zwei auf die quelloffene Programmbibliothek libpng zurück gehen. In iTunes 10.2 steckt nun die Version 1.4.3 der libpng vom Juni 2010. Präparierte PNG-Bilder können zum Absturz führen, der es ermöglichen kann eingeschleusten Code auszuführen.Ähnliche Probleme haben bisherige iTunes-Versionen mit JPEG- und TIFF-Bildern. Drei nunmehr beseitigte Schwachstellen können es einem Angreifer ermöglichen Code einzuschleusen und auszuführen, wenn entsprechend vorbereitete Bilddateien in einer anfälligen iTunes-Version angezeigt werden.

Die Programmbibliothek libxml trägt zwei Sicherheitslücken bei, die mit Hilfe speziell präparierter XML-Dateien zum Programmabsturz führen können. Angreifer, die diese Schwachstellen erfolgreich ausnutzen, könnten schädlichen Code mit den Rechten des Benutzers ausführen.

Der in iTunes integrierte Web-Browser könnte beim Besuch des iTunes-Store via iTunes einen so genannten Man-in-the-Middle-Angriff erlauben. Der wie Safari und Chrome auf Webkit basierende Browser enthält 50 dokumentierte Sicherheitslücken, die sich im Zuge dessen ausnutzen lassen, um beliebigen Code einzuschleusen.

Soweit bekannt, hat Google diese Lücken in Chrome bereits behoben. Ob Apple noch vor dem Hackerwettbewerb Pwn2own, der am 9. März beginnt, ein Update für seinen Web-Browser Safari bereit stellen wird, ist zurzeit noch nicht bekannt.

Quelle : www.tecchannel.de

[SiLæncer]

Seit Wochen berichten iTunes-Nutzer verstärkt von unerklärlichen Abbuchungen - aus Apps, die sie nie installiert haben und die von renommierten Unternehmen wie Sega stammen. Nun wird vermutet, dass iTunes selbst gehackt worden ist.

Im Apple-Diskussionsforum und im iTunes Store berichten Nutzer seit einigen Wochen davon, dass mit ihren Accounts Käufe getätigt wurden. Auch einen Redakteur von Betanews hat es erwischt, fast 100 US-Dollar wurde er so an einem Abend los. Bei vielen Betroffenen wurden in den iTunes-Rechnungen Abbuchungen für In-App-Käufe aus Segas Kingdom Conquest gelistet, obwohl sie es laut eigenen Angaben nicht installiert hatten.

Zumindest ein Teil der Nutzer gab auch an, sichere Passwörter verwendet zu haben, die sich nicht einfach mit Wörterbuchangriffen knacken lassen. In den meisten Fällen hat Apple das Geld offenbar nach den Beschwerden der Nutzer kommentarlos nach einigen Tagen zurückerstattet. Auch auf Anfragen seitens der Presse hat sich Apple bisher nicht zu den Vorfällen geäußert.

Lediglich Sega hat bereits im Kingdom-Conquest-Forum erklärt, keine Schuld zu tragen und auch gar keine Kundeninformationen übermittelt zu bekommen. Die Betroffenen werden deshalb von Sega gebeten, sich im Problemfall direkt an Apple zu wenden. Da Kingdom Conquest zudem ein beliebtes Spiel ist, ist es für Sega vermutlich schwer herauszufinden, ob ein Teil von Käufen unerwünscht erfolgte - wenn das Geld denn überhaupt bei Sega landete.

Es muss sich also nicht um die üblichen Account-Hacks handeln, da hier normalerweise auch Betrüger die Nutznießer der Transaktionen sind - und nicht offensichtlich unbeteiligte Unternehmen wie Sega. Möglich wäre es, dass die In-App-Abrechnung ein Problem hat - oder dass iTunes selbst gehackt wurde.

Das würde dann auch erklären, warum laut iTunes-Kundenberichten sichere Passwörter nichts halfen - laut Betanews-Redakteur Ed Oswald wurde weiter abgebucht, nachdem er sein Passwort und seine E-Mail-Adresse geändert und Paypal als Zahlungsmittel entfernt hatte. Allerdings kommen die iTunes-Kaufbestätigungen nach Erfahrungen von Golem.de immer etwas verzögert an, so dass die Änderungen auch einfach zu spät erfolgt sein könnten.

Falls iTunes gehackt wurde, könnte die Kaufhistorie absichtlich verfälscht worden sein, um zu verschleiern, wohin das Geld von den Accounts wirklich geht. Das sind jedoch bisher nur Spekulationen, solange Apple selbst sich nicht äußert.

Quelle : www.golem.de

[SiLæncer]

Apple hat Quicktime auf Version 7.7 aktualisiert und will damit 14 sicherheitsrelevante Probleme lösen. Das Update betrifft sowohl Windows als auch Mac OS X.

Quicktime 7.7 steht für Mac OS X ab 10.5.8 und Windows XP, Windows Vista und Windows 7 zum Download bereit. Drei der gefundenen Fehler betreffen ausschließlich die Windows-Ausgabe des Programms.

Vor Quicktime 7.7 konnte ein Buffer-Overflow oder ein Programmabsturz des Players mit manipulierten Bildern in den Formaten PICT, JPEG2000 und GIF provoziert und dann Schadecode ausgeführt werden. Auch bei Filmen im H.264-Format und WAV-Dateien kam es zu sicherheitsrelevanten Problemen.

Weitere Details hat Apple in seiner Knowledgebase veröffentlicht. Quicktime kann unter Mac OS X über die Softwareaktualisierung eingespielt werden. Für Windows steht ebenfalls ein Download zur Verfügung.

Quelle : www.golem.de

[SiLæncer]

Nutzer der Windows-Version von QuickTime sollten einen Blick in Apples Softwareaktualisierung werfen: Der Computerkonzern hat in der Nacht zum Mittwoch Version 7.7.2 seines Multimedia-Wiedergabesystems online gestellt. Das Update ist für Windows XP SP2, Vista und 7 gedacht und schließt insgesamt 17 Sicherheitslücken.

Dazu gehören unter anderem Heap-, Buffer-, Stack- und Integer-Overflows, die manipulierten Dateien das Ausführen von Code ermöglichen könnten. Exploits soll es bislang aber noch nicht geben. Nähere Details zu den behobenen Fehlern finden sich in einem Supportdokument.

Quelle : www.heise.de

[SiLæncer]

Apple hat die Windows-Ausgabe seines Multimedia-Abspielsystems Quicktime auf Version 7.7.3 aktualisiert. Die neue Ausgabe behebt zahlreiche kritische Sicherheitslücken.

Bei den Schwachstellen handelt es sich unter anderem um einen Pufferüberlauf bei der Verarbeitung von MP4-Videodateien. Ein Angreifer kann spezielle Videos präparieren, die den Rechner beim Öffnen mit Schadcode infizieren. Windows-Nutzer, die Quicktime auf ihrem System installiert haben, sollten das Update daher besser umgehend installieren

Quelle und Links : http://www.heise.de/security/meldung/Apple-patcht-Quicktime-fuer-Windows-1746425.html

[SiLæncer]

Insgesamt zwölf Sicherheitslücken schließt die neue Quicktime-Version 7.7.4 für Windows. Bei allen handelt es sich um kritische Fehler bei der Verwaltung von Speicher, die letztlich dazu führen können, dass etwa beim Versuch, einen Film mit Quicktime anzuschauen, fremder Code ausgeführt wird – also das System beispielsweise mit Spyware infiziert wird.

Betroffen sind die Dateiformate MP3, H.263, H.264, TeXML, JPEG, QTIF, Sorenson Video und FPX und die Behandlung spezieller Movie Atoms (dref, enof und mvhd). Alle Lücken wurden Apple über die Zero Day Initiative mitgeteilt, die Security-Experten dafür Prämien auszahlt; allein fünf davon haben Tom Gallagher und Paul Bates von Microsoft entdeckt.

Apples Security Advisory soll demnächst auf der Security-Seite erscheinen; der Download der aktuellen Quicktime-Version 7.7.4 ist allerdings schon möglich.

Quelle : www.heise.de

[SiLæncer]

Nachgebaute iTunes-Seiten locken zur Installation der vermeintlichen Apple-Software – stattdessen erhält der Nutzer Malware. Prominent platzierte Suchmaschinenwerbung zum Begriff "iTunes" dient als Zubringer.

Die Suche nach "iTunes" in Microsofts Suchmaschine Bing liefert derzeit als erste Treffer Links auf verschiedene Seiten, die vorgeben, Apples Medien-Software zum Download bereitzuhalten. Eine der prominent platzierten Suchmaschinen-Anzeigen spiegelt beispielsweise vor, auf www.itunes.com zu verlinken – führt stattdessen jedoch auf eine exakte Nachbildung von Apples deutscher iTunes-Download-Seite.

Installiert ein dadurch in die Irre geführter Nutzer die dort angebotene vermeintliche iTunes-Version, fängt er sich stattdessen Malware ein – darunter laut einer Analyse von Virustotal beispielsweise die Adware OutBrowse.

Im Moment scheint sich die unerwünschte Software nur an Windows-Nutzer zu richten, auch der Download der vorgeblichen Mac-Version von iTunes mit einem OS-X-Browser führt lediglich zu einer .exe-Datei – Mac-Nutzer sollten die Installation von Software aus unklarer Quelle aber ebenfalls grundsätzlich vermeiden.

Wieso derartige Anzeigen über einen längeren Zeitraum bei Bing erscheinen können, bleibt unklar – eine Stellungnahme von Microsoft steht noch aus. Einem Bericht zufolge tauchte derartige iTunes-Suchmaschinenwerbung zwischenzeitlich auch in Googles "gesponsorten Suchergebnissen" auf.

Quelle : www.heise.de

[SiLæncer]

Das Multimedia-Plug-in enthält in der letzten Version 7.7.7 mehrere problematische Sicherheitslücken. Ein Update soll diese stopfen.

Wer iTunes unter Windows verwendet, bekommt automatisch auch Apples Multimedia-Codec-Suite QuickTime mitinstalliert. Wie das Unternehmen nun auf seiner Support-Website warnt, enthält die Version 7.7.7 des Plug-ins mehrere Sicherheitslücken. Aus diesem Grund wurde ein Update auf Version 7.7.8 publiziert. Es steht über die Apple-Update-Anwendung in Windows zum Download bereit, im Web gibt es derzeit nur die alte Version.

Laut Apple war es in QuickTime 7.7.7 Angreifern unter Windows möglich, aufgrund von Speicherfehlern unerwünschten Code auszuführen oder zumindest einen Absturz zu produzieren. In seinen Release Notes erwähnt Apple insgesamt neun verschiedene CVE-IDs. Die meisten Lücken wurden von Cisco Talos entdeckt, eine einzige auch von Apple selbst. Der QuickTime-7.7.8-Installer ist als Einzeldownload knapp 40 MByte groß.

Quelle : www.heise.de