Alvorlig sårbarhet i iTunes

Apple publiserte i går en ny versjon av iTunes-programvaren. Ny funksjonalitet er ikke den eneste grunnen til å oppdatere.

Apple publiserte i går en ny versjon av musikkprogramvaren iTunes, som blant annet gir norske brukere tilgang til musikkbutikken iTunes Music Store. Men den nye versjonen lukker også et alvorlig sikkerhetshull.

Sikkerhetshullet skyldes en ikke-kontrollert buffer i tolkningen av MPEG4-filer som kan utnyttes til å forårsake en overflytsfeil i bufferen ved hjelp av en spesielt utformet MPEG4-fill, som igjen kan utnyttes til å kjøre vilkårlig kode og derimot potensielt gi uvedkommende systemadgang.

Sikkerhetshullet karakteriseres av sikkerhetsselskapet Secunia som "Meget kritisk".

Sikkerhetshullet finnes både Mac OS X og Windows-utgavene av ITunes, men er blitt tettet i versjon 4.8 av programvaren ved at Apple har forbedret valideringssjekken som benyttes når MPEG4-filer lastes.

Mer informasjon, inkludert lenke til nedlastingssiden for iTunes, finnes her .

Til toppen