Сведения о проблемах системы безопасности, устраняемых обновлением iTunes 8.1

В этом документе описаны проблемы безопасности, устраняемые обновлением iTunes 8.1.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

iTunes 8,1

  • iTunes

    CVE-ID: CVE-2009-0016

    Целевые продукты: Windows XP или Vista

    Воздействие. Отправка злонамеренно созданного сообщения DAAP может привести к отказу в обслуживании.

    Описание. При обработке сообщений iTunes Digital Audio Access Protocol (DAAP) возникает бесконечный цикл. Отправка сообщения, содержащего злонамеренно созданный параметр Content-Length в заголовке DAAP, может привести к отказу в обслуживании. В данном обновлении эта проблема устраняется за счет выполнения дополнительной проверки сообщений DAAP. Проблема не возникает в Mac OS X. Выражаем благодарность Xiaopeng Zhang, Zhenhua Liu и Junfeng Jia из команды FortiGuard Global Security Research Team компании Fortinet за сообщение об этой проблеме.

  • iTunes

    CVE-ID: CVE-2009-0143

    Целевые продукты: Mac OS X 10.4.10 или более поздней версии, Mac OS X Server 10.4.10 или более поздней версии, Windows XP или Vista

    Воздействие. Подписка на вредоносный подкаст может привести к раскрытию имени пользователя и пароля iTunes.

    Описание. В функции подкастов iTunes возникает проблема, связанная с дизайном. Подписка на вредоносный подкаст может привести к появлению у пользователя диалогового окна аутентификации. Это диалоговое окно может побудить пользователя отправить учетные данные iTunes на сервер подкастов. Данное обновление позволяет решить эту проблему путем уточнения происхождения запроса на аутентификацию в диалоговом окне. Выражаем благодарность Simon Bellwood за сообщение об этой проблеме.

Важно. Информация об изделиях сторонних производителей предоставляется исключительно в ознакомительных целях и не носит рекомендательного характера. Свяжитесь с продавцом для получения дополнительной информации.

Дата публикации: