Mit OS X 10.9.3 hat Apple gleichzeitig nicht nur eine neue Version vom Safari-Browser veröffentlicht, sondern auch iTunes 11.2 an den Start gebracht. Die wichtigste Änderung in Apples Multimedia-Software ist allerdings nicht die verbesserte Podcast-Verwaltung, vielmehr wurde ein problematisches Sicherheitsleck geschlossen.
Dieses Sicherheitsleck konnte dazu verwendet werden, dass Angreifer Zugriff auf den iTunes-Account des Opfers hatten. Der Angreifer musste hierfür lediglich im gleichen Netzwerk unterwegs sein, um daraufhin die Set-Cookie-HTTP-Header auszulesen. Laut Apple wurden diese nämlich auch dann weiterverarbeitet, wenn die Verbindung geschlossen wurde, bevor sie überhaupt vollständig waren.
Mittels ausgelesenem Cookie konnte dann ein Angreifer Zugriff zum iTunes-Account bekommen. Betroffen waren hiervon laut Apple alle Windows User, und zwar mit Windows XP SP3, Vista, Windows 7 und Windows 8.
Das Sicherheitsleck (CVE-2014-1296) scheint dem Konzern aus Cupertino wohl selbst aufgefallen zu sein. Ab iTunes 11.2 soll dieser Bug nun Geschichte sein. Statt der Weiterverarbeitung der Set-Cookie-HTTP-Header, selbst wenn diese geschlossen wurden, bevor die HTTP-Header-Zeile vollständig war, werden diese ab sofort ignoriert.
Noch kein Fan? Folge WEBLOGIT auf Facebook oder Twitter, um nichts zu verpassen! ↵
