######################################################################

CERT-Bund -- Warn- und Informationsdienst

######################################################################

KURZINFORMATION ZU SCHWACHSTELLEN UND SICHERHEITSLUECKEN

ID: CB-K05/0018
Titel: Schwachstelle in iTunes ermoeglicht Ausfuehrung
beliebigen Programmcodes
Datum: 12.01.2005
Software: Apple iTunes
Version: < 4.7.1
Plattform: Alle unterstuetzten Plattformen
Auswirkung: Ausfuehren beliebigen Programmcodes mit
Benutzerrechten
Remoteangriff: Ja
Risiko: hoch
Bezug:

######################################################################

Ein Pufferueberlauf bei der Verarbeitung von Playlisten im .m3u oder
.pls Format kann von einem entfernten Angreifer ausgenutzt werden, um
die Anwendung zum Absturz zu bringen oder beliebigen Programmcodes mit
den Rechten des Benutzers auszufuehren.

Mit freundlichen Gruessen
das Team CERT-Bund

=================================================================
BSI - Bundesamt fuer Sicherheit in der Informationstechnik
Referat I 2.1 CERT-Bund

Telefon +49-228-9582-110 / FAX +49-228-9582-427
/
=================================================================

=======================================================================
HINWEIS:
Die Inhalte dieser Meldung repraesentieren den Kenntnisstand des BSI
zum Zeitpunkt der Versendung. Eine Haftung fuer eventuelle Schaeden
oder Konsequenzen, die durch die direkte oder indirekte Nutzung der
Inhalte entstehen, wird ausgeschlossen.
Diese Meldung kann unter Einhaltung des Urheberrechts im vollstaendigen
Wortlaut, ohne Aenderungen und mit BSI-Copyright-Informationen kopiert
und fuer den persoenlichen und privaten Gebrauch weitergeleitet werden.
Eine kommerzielle Nutzung ist ausdruecklich untersagt.
=======================================================================