关于 iTunes 8.1 的安全性内容
摘要
本文稿介绍 iTunes 8.1 的安全性内容。
为保护我们的客户,在未进行详尽的调查并推出必要的修补程序或发行版之前,Apple 不会公开、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息,请访问 Apple 产品安全性网站。
有关 Apple 产品安全性 PGP 密钥的信息,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。
如果可能,请使用 CVE ID 来查阅漏洞的更多信息。
要了解有关其他安全性更新的信息,请参阅“Apple 安全性更新”。
受影响的产品
产品安全性, iTunes 8 for Windows, iTunes 8 for Mac
iTunes 8.1
-
iTunes
CVE-ID:CVE-2009-0016
适用于:Windows XP 或 Vista
影响:发送恶意制作的 DAAP 消息可造成拒绝服务
说明:iTunes 数字音频访问协议 (DAAP) 消息处理中存在一个无限循环。如果所发送消息的 DAAP 标头中包含恶意制作的 Content-Length 参数,则可能造成拒绝服务。此更新通过对 DAAP 消息执行额外验证解决了上述问题。此问题并不影响 Mac OS X 系统。感谢 Fortinet 的 FortiGuard 全球安全研究团队的张晓鹏(音)、刘振华(音)以及贾峻峰(音)报告此问题。
-
iTunes
CVE-ID:CVE-2009-0143
适用于:Mac OS X v10.4.10 或更高版本、Mac OS X Server v10.4.10 或更高版本、Windows XP 或 Vista
影响:订购恶意的 Podcast 可造成 iTunes 用户名和密码泄露
说明:iTunes 的 Podcast 功能中存在一个设计问题订购恶意的 Podcast 可能会导致向用户显示一个验证对话框。该对话框可引诱用户将 iTunes 凭证发送至 Podcast 服务器。本更新通过阐明对话框中验证请求的来源解决了上述问题。感谢 Simon Bellwood 报告此问题。
Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.