BSI warnt vor kritischen Schwachstellen in iCloud und iTunes für Windows

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Warnungen vor zwei Schwachstellen in iCloud und iTunes für Windows ausgesprochen. Bei beiden Softwarelösungen stuft es die Lücken mit der Risikostufe 4 ein. Sie erlauben Remoteangriffe sowie die Ausführung beliebigen Programmcodes.

Die teilweise gleichlautenden Warnungen beziehen sich auf zwei kritische Sicherheitslücken. Diese wurden in der Browser-Engine WebKit entdeckt, die Apple in beiden Softwarelösungen einsetzt. Sie ermöglichen einem entfernten und nicht authentifizierten Angreifer, Informationen auszuspähen und darüber hinaus beliebigen Programmcode auszuführen.

Betroffen sind die Betriebssysteme Windows 7, Windows 8.1 sowie Windows 10. Apple bietet dafür als Sicherheitupdates iCloud for Windows 6.0.1 sowie iTunes 12.5.2 for Windows an.

Zum ersten der beiden Fehler gibt Apple an, dass Eingaben unzureichend validiert werden. Die Verarbeitung bösartig präparierter Webinhalte kann daher zur Preisgabe von Informationen führen. Die zweite Schwachstelle ermöglicht einer bösartig präparierten Website, beliebigen Programmcode auszuführen. Sie beruht auf mehreren Problemen mit Speicherkorruption, die in den Sicherheitsaktualisierungen durch eine verbesserte Speicherverwaltung behoben werden.

Mit denselben Lücken hatten auch Apples eigene Betriebssysteme zu kämpfen, die schon vor einigen Tage mit Updates versorgt wurden. Mit iOS 10.1 stopfte der iPhone-Hersteller insgesamt 13 Sicherheitslöcher einschließlich derer, die auch in Windows auftraten. Parallel dazu beseitigten macOS 10.12.1 und tvOS 10.1 diese Fehler.