Over de beveiligingsinhoud van iTunes 8.1
In dit document wordt de beveiligingsinhoud van iTunes 8.1 beschreven.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.
Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Zie Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.
iTunes 8.1
iTunes
CVE-ID: CVE-2009-0016
Beschikbaar voor: Windows XP or Vista
Impact: het verzenden van een kwaadwillig vervaardigd bericht kan leiden tot een denial of service
Beschrijving: er is sprake van een oneindige lus bij het verwerken van DAAP-berichten (Digital Audio Access Protocol) van iTunes. Het verzenden van een bericht met een kwaadwillig vervaardigde Content-Length-parameter in de DAAP-header kan leiden tot een denial of service. Deze update verhelpt het probleem door aanvullende validatie van DAAP-berichten uit te voeren. Dit probleem is niet van invloed op systemen met Mac OS X. Met dank aan Xiaopeng Zhang, Zhenhua Liu en Junfeng Jia van Fortinet's FortiGuard Global Security Research Team voor het melden van dit probleem.
iTunes
CVE-ID: CVE-2009-0143
Beschikbaar voor: Mac OS X v10.4.10 of nieuwer, Mac OS X Server v10.4.10 of nieuwer, Windows XP of Vista
Impact: het abonneren op een kwaadwillig vervaardigde podcast kan leiden tot het vrijgeven van de gebruikersnaam en het wachtwoord voor iTunes
Beschrijving: er is sprake van een ontwerpprobleem in de podcastvoorziening van iTunes. Een abonnement op een kwaadwillig vervaardigde podcast kan tot gevolg hebben dat er een authenticatievenster wordt weergegeven aan de gebruiker. Dit dialoogvenster kan de gebruiker ertoe verleiden om inloggegevens voor iTunes naar de podcastserver te sturen. Met deze update wordt het probleem opgelost door de herkomst van het authenticatieverzoek te verduidelijken in het dialoogvenster. Met dank aan Simon Bellwood voor het melden van dit probleem.
Belangrijk: Informatie over producten die niet door Apple zijn geproduceerd, wordt alleen ter informatie verstrekt en vormt geen aanbeveling of goedkeuring van Apple. Neem voor meer informatie contact op met de leverancier.