Tietoja iTunes 11.1.4:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iTunes 11.1.4:n turvallisuussisällöstä.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

iTunes 11.1.4

• iTunes

  Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.6.8 tai uudempi, Windows 8, Windows 7, Windows Vista ja Windows XP SP2 tai uudempi

  Vaikutus: Hyökkääjä, jolla on etuoikeutettu verkkoasema, voi hallita iTunes-oppitunnit-ikkunan sisältöä.

  Kuvaus: iTunes-oppitunnit-ikkunan sisältö haettiin käyttämällä suojaamatonta HTTP-verkkoyhteyttä, joten etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi lisätä siihen mielivaltaista sisältöä. Ongelma on ratkaistu hakemalla oppitunnit salatun HTTPS-yhteyden kautta.

  CVE-ID

  CVE-2014-1242: Apple

• iTunes

  Saatavilla seuraaviin käyttöjärjestelmiin: Windows 8, Windows 7, Windows Vista ja Windows XP SP2 tai uudempi

  Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

  Kuvaus: Tekstiraitojen käsittelyssä oli alustamattoman muistin käyttöongelma. Ongelma on ratkaistu tekstiraitojen lisätarkistuksella.

  CVE-ID

  CVE-2013-1024: Triemt Corporationin Richard Kuo ja Billy Suguitan

• iTunes

  Saatavilla seuraaviin käyttöjärjestelmiin: Windows 8, Windows 7, Windows Vista ja Windows XP SP2 tai uudempi

  Vaikutus: Välimieshyökkäys käytettäessä iTunes Storea iTunesissa saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

  Kuvaus: WebKitissä oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

  CVE-ID

  CVE-2013-1037: Google Chrome Security Team

  CVE-2013-1038: Google Chrome Security Team

  CVE-2013-1039: iDefense VCP:n parissa työskentelevä own-hero Research

  CVE-2013-1040: Google Chrome Security Team

  CVE-2013-1041: Google Chrome Security Team

  CVE-2013-1042: Google Chrome Security Team

  CVE-2013-1043: Google Chrome Security Team

  CVE-2013-1044: Apple

  CVE-2013-1045: Google Chrome Security Team

  CVE-2013-1046: Google Chrome Security Team

  CVE-2013-1047: miaubiz

  CVE-2013-2842: Cyril Cattiaux

  CVE-2013-5125: Google Chrome Security Team

  CVE-2013-5126: Apple

  CVE-2013-5127: Google Chrome Security Team

  CVE-2013-5128: Apple

• libxml

  Saatavilla seuraaviin käyttöjärjestelmiin: Windows 8, Windows 7, Windows Vista ja Windows XP SP2 tai uudempi

  Vaikutus: Välimieshyökkäys käytettäessä iTunes Storea iTunesissa saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

  Kuvaus: libxml:ssä oli useita muistin vioittumiseen liittyviä ongelmia. Nämä ongelmat on ratkaistu päivittämällä libxml versioon 2.9.0.

  CVE-ID

  CVE-2011-3102: Jüri Aedla

  CVE-2012-0841

  CVE-2012-2807: Jüri Aedla

  CVE-2012-5134: Google Chrome Security Team (Jüri Aedla)

• libxslt

  Saatavilla seuraaviin käyttöjärjestelmiin: Windows 8, Windows 7, Windows Vista ja Windows XP SP2 tai uudempi

  Vaikutus: Välimieshyökkäys käytettäessä iTunes Storea iTunesissa saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

  Kuvaus: libxslt:ssä oli useita muistin vioittumiseen liittyviä ongelmia. Nämä ongelmat on ratkaistu päivittämällä libxslt versioon 1.1.28.

  CVE-ID

  CVE-2012-2825: Nicolas Gregoire

  CVE-2012-2870: Nicolas Gregoire

  CVE-2012-2871: Fortinetin FortiGuard Labsin Kai Lu sekä Nicolas Gregoire