iTunes 11.2.1 schließt auch Sicherheitslücke - Update empfohlen

Mit der Veröffentlichung von iTunes 11.2.1 hatte Apple vergangenen Freitag nicht nur ein Problem behoben, bei dem der allgemeine Nutzer-Ordner versteckt war, sondern auch eine gefährliche Sicherheitslücke geschlossen. Durch umfangreiche Schreibrechte konnten beliebige Nutzer mit Zugriff auf das lokale System erweiterte Rechte erlangen und schädliche Programme einschleusen. Da diese Sicherheitslücke mit iTunes 11.2 eingeführt wurde, sind nur Nutzer betroffen, die vergangenen Donnerstag oder Freitag bereits iTunes aktualisiert hatten. Diese Nutzer sollten aus Sicherheitsgründen eine erneute iTunes-Aktualisierung durchführen, selbst wenn der allgemeine Nutzer-Ordner sichtbar ist. Allen anderen Nutzern wird seit Samstag Mittag ohnehin nur noch das korrigierte iTunes 11.2.1 zum Download angeboten.

Weiterführende Links:

Kommentare

ctismer20.05.14 14:06
Apple scheint ja zunehmend zu Pfuschen, verglichen über die Jahre.
Immerhin korrigiert, aber vermutlich nicht selber bemerkt?

Leider sagen auch die Links nichts dazu, was da abgegangen ist...
0
ExMacRabbitPro
ExMacRabbitPro20.05.14 14:22
ctismer
Apple scheint ja zunehmend zu Pfuschen, verglichen über die Jahre.
Immerhin korrigiert, aber vermutlich nicht selber bemerkt?

Leider sagen auch die Links nichts dazu, was da abgegangen ist...

Wenn man versteht was da steht, sagt das Support Dokument von Apple eigentlich ganz deutlich was da war:
Impact: A local user can compromise other local user accounts Description: Upon each reboot, the permissions for the /Users and /Users/Shared directories would be set to world-writable, allowing modification of these directories. This issue was addressed with improved permission handling. For information on the general content of iTunes 11.2.1, see http://support.apple.com/kb/TS5434.

Sprich: Falsch gesetzte Rechte des Users Ordners.
0
sierkb20.05.14 14:40
0
o.wunder
o.wunder20.05.14 14:41
Au weia, ganz schöner Lapsus.

Ich hatte hier schon einmal erwähnt, das Apple wohl keine automatisierten Tests zur Qualitätssicherung macht und wurde daraufhin ganz schön zurecht gestutzt, woher ich das denn wüsste etc.

Also ich kenne automatisierte Tests sehr gut und weiß wie man damit eine gleichbleibende! Qualität sichert und gleichzeitig auch wiederkehrende Tests möglichst effektiv mit wenig Aufwand durchführen kann.

Und dieser Fehler mit den Rechten ist ein untrügliches Zeichen, das Apple Keine automatisierten Tests durchführt, denn eine App die als dem Entwickler bekannte Funktion rechte verändert und kein Test auf Rechte ausgeführt wird, deutet sehr stark daraufhin das Tests nur stichprobenmässig und nicht automatisiert ausgeführt werden, oder die Testplanung ist äußerst mangelhaft.

Mir ist auch überhaupt nicht klar warum eine normale App irgendetwas an Rechten rumschrauben muss?

Immerhin haben Sie schnell eine Korrektur hinterher geschoben, dafür gebührt Apple Lob!
0
MetallSnake
MetallSnake20.05.14 14:41
ctismer
Apple scheint ja zunehmend zu Pfuschen, verglichen über die Jahre.
Immerhin korrigiert, aber vermutlich nicht selber bemerkt?

Leider sagen auch die Links nichts dazu, was da abgegangen ist...

Es sind schon deutlich schlimmere Sachen passiert. (Software lösche Benutzerordner wenn im Festplattennamen Leerzeichen vorhanden sind, komplette Festplatten werden bei bestimmten FireWire Festplatten gelöscht etc.). Also ich würd sagen, über die Jahre ist es eher besser geworden. Nur wird das heute stärker breit getreten in den Medien. Ist genauso wie mit der Gewalt von Jugendlichen, nimmt ab, aber durch die zunehmende Berichterstattung erscheint es so als würde es immer schlimmer werden.
the Finder icon appears to be about 20% happier than before
0
o.wunder
o.wunder20.05.14 14:48
sierkb
sierkb: sehr schönes Beispiel!

Warum darf unter Windows ein Anwendungsprogramm eine System DLL austauschen?

Fail by System und von Apple gleich schön demonstriert...

Tja System DLLen austauschen zeugt von großem Know How bei Apple... Aber jeder fängt halt mal klein an...
0
ExMacRabbitPro
ExMacRabbitPro20.05.14 15:10
o.wunder
sierkb
sierkb: sehr schönes Beispiel!

Warum darf unter Windows ein Anwendungsprogramm eine System DLL austauschen?

Fail by System und von Apple gleich schön demonstriert...

Tja System DLLen austauschen zeugt von großem Know How bei Apple... Aber jeder fängt halt mal klein an...

Das "Programm" war in diesem Fall der Windows Installer. Und wenn der keine DLLs installieren darf wer sonst? Der Fehler hier war eher, dass in das Installer Cab File eine DLL gerutscht ist die gar nicht hätte ausgeliefert werden sollen/dürfen.
Sofern ich mich aber richtig erinnere, warnt der Installer beim überschreiben einer neueren mit einer älteren DLL - bzw. ersetzt die neuere DLL nicht. Man möge mich da aber bitte korrigieren, wenn dies bei aktuellen Windows Versionen nicht mehr so ist - ich entwickle schon länger keine nativen Windows Anwendungen mehr und habe daher nix mehr mit deren Installation zu tun.
0
dom_beta20.05.14 15:17
ich versteh den Zusammenhang zwischen iTunes und Dateizugriffsrechten nicht.

Hä?!
...
0
Megaseppl
Megaseppl20.05.14 16:34
o.wunder
Also ich kenne automatisierte Tests sehr gut und weiß wie man damit eine gleichbleibende! Qualität sichert und gleichzeitig auch wiederkehrende Tests möglichst effektiv mit wenig Aufwand durchführen kann. !

Genau das ist die Krux: In der Praxis ist es unmöglich, alle Eventualitäten vorab zu wissen um sie in Dein Test-Szenario einzubinden. Ansonsten machst Du praktisch nix anderes mehr als Tests an den Code bzw. alle Konstellationen anzupassen. Es ist schon sinnvoll sich auf das Notwendige zu beschränken.
Bei dem SSL-Bug hat Apple aber ganz offensichtlich nicht ausreichend getestet, dort fehlten entsprechende Unit-Tests: Alle If-Abfragen hätten mindestens einen Test benötigt.
Der iTunes-Fehler mit den Berechtigungen des Users-Ordners ist jedoch so merkwürdig, dass man diesen kaum vorab in einem Integrationstestverfahren berücksichtigt hätte. Zudem dieser ja (teilweise?) auch nur in bestimmten Konstellationen zutrage kommt (aktiviertes "Find my Mac"). Für so etwas gibt es Beta-Tests... dort ist offensichtlich etwas schiefgelaufen. Ich vermute dass es sich hier rächt dass Apple keine öffentlichen Betas von iTunes an Nutzer herausgibt. Innerhalb des Unternehmens dürfte auf den wenigsten Macs "Find my Mac" aktiv sein und das Problem entsprechend selten aufgetrete sein.
0
ctismer21.05.14 12:58
ExMacRabbitPro
ctismer
Apple scheint ja zunehmend zu Pfuschen, verglichen über die Jahre.
Immerhin korrigiert, aber vermutlich nicht selber bemerkt?

Leider sagen auch die Links nichts dazu, was da abgegangen ist...

Wenn man versteht was da steht, sagt das Support Dokument von Apple eigentlich ganz deutlich was da war:
Impact: A local user can compromise other local user accounts Description: Upon each reboot, the permissions for the /Users and /Users/Shared directories would be set to world-writable, allowing modification of these directories. This issue was addressed with improved permission handling. For information on the general content of iTunes 11.2.1, see http://support.apple.com/kb/TS5434.

Sprich: Falsch gesetzte Rechte des Users Ordners.

Nein, darum geht's mir nicht, weiss ich alles.

Meine Anmerkung bezog sich darauf, wer den Bug dann bemerkt hat,
apple selber oder erst wieder die User?

Diese Sorte Bug sieht sehr nach einem Quick-Hack aus, der schlecht getestet
schnell nachgeschoben wurde und dadurch das nächste Problem erzeugte.
0
ctismer21.05.14 13:06
MetallSnake
ctismer
Apple scheint ja zunehmend zu Pfuschen, verglichen über die Jahre.
Immerhin korrigiert, aber vermutlich nicht selber bemerkt?

Leider sagen auch die Links nichts dazu, was da abgegangen ist...

Es sind schon deutlich schlimmere Sachen passiert. (Software lösche Benutzerordner wenn im Festplattennamen Leerzeichen vorhanden sind, komplette Festplatten werden bei bestimmten FireWire Festplatten gelöscht etc.). Also ich würd sagen, über die Jahre ist es eher besser geworden. Nur wird das heute stärker breit getreten in den Medien. Ist genauso wie mit der Gewalt von Jugendlichen, nimmt ab, aber durch die zunehmende Berichterstattung erscheint es so als würde es immer schlimmer werden.

Ok, das mag angehen. Könnte dann sogar gut sein, dass die Medien sowas
breit treten, sodass Apple vielleicht vorsichtiger wird statt Schnellschüsse
rauszuhauen. Aber wie gesagt, leider weiss man nicht was bei denen intern
so abgeht. Würde gern mal Mäuschen spielen.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen