Informacje o funkcjach programu iTunes 8.1 dotyczących zabezpieczeń

  • Ostatnia modyfikacja: 23 marzec, 2009
  • Artykuł: HT3487

Podsumowanie

W tym dokumencie opisano funkcje programu iTunes 8.1 dotyczące zabezpieczeń.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk są używane identyfikatory z katalogu CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych aktualizacjach zabezpieczeń zawiera artykuł Aktualizacje zabezpieczeń firmy Apple.

Dotyczy produktów

Bezpieczeństwo produktów, iTunes 8 for Windows, iTunes 8 for Mac

iTunes 8.1

  • Program iTunes

    Identyfikator CVE: CVE-2009-0016

    Dostępne dla systemów: Windows XP i Windows Vista

    Zagrożenie: wysłanie złośliwie spreparowanego komunikatu DAAP może doprowadzić do ataku typu „odmowa usługi”.

    Opis: w procedurach obsługi komunikatów protokołu dostępu do audio cyfrowego (DAAP, Digital Audio Access Protocol) w programie iTunes występuje nieskończona pętla. Wysłanie komunikatu DAAP zawierającego w nagłówku złośliwie spreparowany parametr Content-Length może doprowadzić do ataku typu „odmowa usługi”. Ta aktualizacja rozwiązuje ten problem, powodując dodatkowe sprawdzanie poprawności komunikatów DAAP. Ten problem nie występuje na komputerach z systemem Mac OS X. Problemy zgłosili Xiaopeng Zhang, Zhenhua Liu oraz Junfeng Jia z zespołu FortiGuard Global Security Research Team firmy Fortinet.

  • Program iTunes

    Identyfikator CVE: CVE-2009-0143

    Dostępne dla systemów: Mac OS X 10.4.10 lub nowszy, Mac OS X Server 10.4.10 lub nowszy, Windows XP lub Windows Vista

    Zagrożenie: zasubskrybowanie podcastu o złośliwym działaniu może doprowadzić do ujawnienia nazwy użytkownika i hasła używanych w programie iTunes.

    Opis: funkcja podcastów w programie iTunes zawiera błąd projektowy. Zasubskrybowanie podcastu o złośliwym działaniu może spowodować wyświetlenie okna dialogowego uwierzytelniania. To okno może skłonić użytkownika do wysłania danych logowania używanych w programie iTunes do serwera podcastu. Ta aktualizacja rozwiązuje ten problem, powodując wyświetlanie w oknie dialogowym jednoznacznych informacji dotyczących pochodzenia żądania uwierzytelniania. Ten problem zgłosił Simon Bellwood.

Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.