iTunes 8.1 のセキュリティコンテンツについて
iTunes 8.1 のセキュリティコンテンツについて説明します。
Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、こちらを参照してください。
Apple Product Security PGP キーについては、こちらの記事を参照してください。
CVE ID を使って脆弱性を調べることもできます。
その他のセキュリティアップデートについては、こちらの記事を参照してください。
iTunes 8.1
iTunes
CVE-ID:CVE-2009-0016
対象:Windows XP または Vista
影響:悪意を持って作成された DAAP メッセージを送信するとサービス運用妨害状態になることがある
説明:iTunes Digital Audio Access Protocol (DAAP) メッセージの処理で無限ループが発生します。悪意を持って作成された Content-Length パラメータを DAAP ヘッダに含むメッセージを送信すると、サービス運用妨害になる可能性があります。このアップデートでは、DAAP メッセージの検証を強化することで問題が解消されています。この問題は Mac OS X システムでは発生しません。この問題の報告は、Fortinet の FortiGuard Global Security Research Team の Xiaopeng Zhang 氏、Zhenhua Liu 氏、Junfeng Jia 氏の功績によるものです。
iTunes
CVE-ID:CVE-2009-0143
対象:Mac OS X v10.4.10 以降、Mac OS X Server v10.4.10 以降、Windows XP または Vista
影響:悪意のあるポッドキャストのサブスクリプションに登録すると、iTunes のユーザ名とパスワードが開示される可能性がある
説明:iTunes のポッドキャスト機能に設計上の問題があります。悪意のあるポッドキャストのサブスクリプションに登録すると、ユーザに認証ダイアログが表示される可能性があります。ユーザがこのダイアログに入力して iTunes の認証情報をポッドキャストのサーバに送信してしまうことがあります。このアップデートでは、認証情報のリクエスト元をダイアログに明確に示すことで問題が解消されています。この問題の報告は Simon Bellwood 氏の功績によるものです。
重要:Apple 製以外の製品に関する情報は、あくまで参考情報であり、Apple はこれらの製品を推奨するものでも保証するものでもありません。詳しくは、各社にお問い合わせください。