iTunes 8.1 のセキュリティコンテンツについて
概要
この記事では、iTunes 8.1 のセキュリティコンテンツについて説明します。
ユーザを保護するために、アップルはセキュリティの問題に関して、完全に調査を完了して必要なパッチやリリースが利用可能になるまでは、問題についての公開、説明、確認を行いません。アップル製品のセキュリティの詳細については、アップル製品のセキュリティ を参照してください。
Apple Product Security PGP キーについて詳しくは、Apple Product Security PGP キーの使用方法 を参照してください。
CVE IDs でも、脆弱性に関する詳細な情報を参照できます (英語)。
セキュリティアップデートについて詳しくは、Apple セキュリティアップデートについて を参照してください。
対象製品
製品のセキュリティ, iTunes 8 for Windows, iTunes 8 for Mac
iTunes 8.1
-
iTunes
CVE-ID:CVE-2009-0016
対象となる OS:Windows XP または Vista
影響:悪意を持って作成された DAAP メッセージを送信すると、サービス拒否が引き起こされる可能性がある。
説明:iTunes Digital Audio Access Protocol (DAAP) メッセージの処理で、無限ループが発生します。悪意を持って作成された Content-Length パラメータが DAAP ヘッダ内に含まれているメッセージを送信すると、サービス拒否が引き起こされる可能性があります。このアップデートでは、DAAP メッセージの追加検証を行うことにより、問題が解消されています。この問題は Mac OS X システムでは発生しません。この問題の報告は、FortiGuard Global Security Research Team の Xiaopeng Zhang 氏、Zhenhua Liu 氏、および Junfeng Jia 氏の功績によるものです。
-
iTunes
CVE-ID:CVE-2009-0143
対象となるバージョン:Mac OS X v10.4.10 以降、Mac OS X Server v10.4.10 以降、Windows XP、または Vista
影響:悪意のある Podcast に加入すると、iTunes のユーザ名とパスワードが公開される可能性がある。
説明:iTunes の Podcast 機能には設計上の問題があります。悪意のある Podcast に加入すると、認証ダイアログが表示されます。このダイアログで、iTunes の資格情報を Podcast サーバに送信するように求められることがあります。このアップデートを実行すると、認証要求のソースがダイアログに明確に表示されるため、この問題が解消されます。この問題の報告は、Simon Bellwood 氏の功績によるものです。
Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.