Wer die Apple-Programme iTunes für Windows oder iCloud für Windows verwendet, sollte diese aktualisieren. Apple hat Ende Mai 2018 und im Juni 2018 entsprechende Sicherheitsupdates von iTunes für Windows oder iCloud für Windows freigegeben.
Ich habe bei Recherchen zu einem Artikel gesehen, dass Apple seine Wissens-Artikel zu iCloud am 9. Juni 2018 aktualisiert hat. Aber dort fand sich kein Hinweis auf Probleme. heise.de berichtet in diesem Beitrag aber von Sicherheitslücken in iTunes für Windows und iCloud für Windows.
iTunes für Windows Version 12.7.5 (Mai 2018)
Die letzte, von Apple freigegebene Fassung iTunes V12.7.5 für Windows stammt vom 29. Mai 2018 und steht für Windows 7 oder später, also auch für Windows 10, zur Verfügung. Apple schreibt, dass dieses Update nur kleinere Fixes und Leistungsverbesserungen beinhalten. Von einem Sicherheitsproblem habe ich nichts gelesen.
iCloud für Windows Version 7.5
Auf dieser Apple iCloud für Windows-Seite wird noch die Version 5.1 aufgeführt, obwohl die Seite zum 9. Juni 2018 aktualisiert wurde. Laut diesem Beitrag von heise.de steht aber die Version 7.5 bereit. Diese Version steht ab Windows 7 zur Verfügung. Der Apple-Beitrag Informationen zum Sicherheitsinhalt von iCloud für Windows 7.5 thematisiert nicht nur die neue Version, sondern gibt auch einige Hinweise auf Sicherheitsprobleme.
- CVE-2018-4224: Ein lokaler Benutzer könnte einen Persistent Identifier für ein Gerät lesen. Das Autorisierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.
- CVE-2018-4225: Ein lokaler Benutzer könnte den Status des Schlüsselbunds ändern. Dies wurde durch eine verbesserte Statusverwaltung behoben.
- CVE-2018-4226: Ein lokaler Nutzer kann auf vertrauliche Benutzerdaten zugreifen, was auch durch eine verbesserte Statusverwaltung behoben wurde.
Zudem gibt Apple an, dass einige Fehler in WebKit behoben wurden, die Sicherheitsprobleme darstellen oder andere Probleme bereiten können.
- CVE-2018-4232: Der Besuch einer in böser Absicht erstellten Website kann dazu führen, dass Cookies überschrieben werden. Bei der Verarbeitung von Cookies im Webbrowser trat ein Problem mit den Berechtigungen auf. Dieses Problem wurde durch verbesserte Beschränkungen behoben.
- CVE-2018-4192: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen. Ein Problem mit einer Race-Bedingung wurde durch verbesserten Sperrschutz behoben.
- CVE-2018-4214: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Programmabbruch von Safari führen. Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
- CVE-2018-4204: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen. Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
- CVE-2018-4246: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen. Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
- CVE-2018-4200: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen. Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
- CVE-2018-4201, CVE-2018-4218, CVE-2018-4233: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen. Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
- CVE-2018-4188: Der Besuch einer in böser Absicht erstellten Website kann zu URL-Spoofing führen. Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.
- CVE-2018-4190: Durch den Besuch einer in böser Absicht erstellten Website können vertrauliche Daten offengelegt werden. Anmeldedaten wurden beim Abrufen von Bildern mit CSS-Maske unerwartet gesendet. Dies wurde durch eine CORS-gestützte Abrufmethode behoben.
- CVE-2018-4199: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen. Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.
- CVE-2018-4222: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen. Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
Die obige Liste mit Sicherheitsfixes hat den Stand vom 25. Juni 2018. Auf Grund der vielen Bugs und Sicherheitslücken sollten die genannten Programme umgehend aktualisiert werden. Ergänzung: Beachtet die Kommentare – und inzwischen hat Apple neben iOS 11.4.1 auch die neue iTunes-Version 12.8 freigegeben.
Komisch, ich bekomme gerade iTunes Version 12.8 angeboten… vom „Apple Software Update“
Danke, ich habe den Artikel iTunes 12.8 verfügbar zu veröffentlicht. Ich verwende hier seit Jahren kein iTunes mehr, seit es mir ein Windows ziemlich zerdeppert hat.