iTunes 8.1 のセキュリティコンテンツについて

iTunes 8.1 のセキュリティコンテンツについて説明します。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、こちらを参照してください。

Apple Product Security PGP キーについては、こちらの記事を参照してください。

CVE ID を使って脆弱性を調べることもできます。

その他のセキュリティアップデートについては、こちらの記事を参照してください。

iTunes 8.1

• iTunes

  CVE-ID：CVE-2009-0016

  対象：Windows XP または Vista

  影響：悪意を持って作成された DAAP メッセージを送信するとサービス運用妨害状態になることがある

  説明：iTunes Digital Audio Access Protocol (DAAP) メッセージの処理で無限ループが発生します。悪意を持って作成された Content-Length パラメータを DAAP ヘッダに含むメッセージを送信すると、サービス運用妨害になる可能性があります。このアップデートでは、DAAP メッセージの検証を強化することで問題が解消されています。この問題は Mac OS X システムでは発生しません。この問題の報告は、Fortinet の FortiGuard Global Security Research Team の Xiaopeng Zhang 氏、Zhenhua Liu 氏、Junfeng Jia 氏の功績によるものです。

• iTunes

  CVE-ID：CVE-2009-0143

  対象：Mac OS X v10.4.10 以降、Mac OS X Server v10.4.10 以降、Windows XP または Vista

  影響：悪意のあるポッドキャストのサブスクリプションに登録すると、iTunes のユーザ名とパスワードが開示される可能性がある

  説明：iTunes のポッドキャスト機能に設計上の問題があります。悪意のあるポッドキャストのサブスクリプションに登録すると、ユーザに認証ダイアログが表示される可能性があります。ユーザがこのダイアログに入力して iTunes の認証情報をポッドキャストのサーバに送信してしまうことがあります。このアップデートでは、認証情報のリクエスト元をダイアログに明確に示すことで問題が解消されています。この問題の報告は Simon Bellwood 氏の功績によるものです。