關於 iTunes 8.1 的安全性內容

  • 最後更新: 23 三月, 2009
  • 文章: HT3487

摘要

本文件說明 iTunes 8.1 的安全性內容。

為了保護客戶利益,在執行完整調查並且可以使用所有必要的修補程式或發行版本之前,Apple 不會洩漏、討論或確認安全性問題。若要瞭解有關“Apple 產品安全性”的更多資訊,請造訪 Apple 產品安全性網站。

如需有關 Apple 產品安全性 PGP 金鑰的資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。

如有可能,可以使用 CVE ID 參閱有關漏洞的進一步資訊。

若要瞭解其他安全性更新的資訊,請參閱「Apple 安全性更新」。

受影響的產品

產品安全性, iTunes 8 for Windows, iTunes 8 for Mac

iTunes 8.1

  • iTunes

    CVE-ID:CVE-2009-0016

    適用於:Windows XP 或 Vista

    影響:傳送惡意製作的 DAAP 訊息可能導致拒絕服務

    描述:在處理 iTunes 數位音訊存取通訊協定 (Digital Audio Access Protocol,DAAP) 訊息時存在無限迴圈。傳送 DAAP 標頭含有惡意製作的 Content-Length 參數的訊息可能導致拒絕服務。此更新會對 DAAP 訊息執行額外的驗證,來解決上述問題。此問題不會影響 Mac OS X 系統。感謝 Fortinet 的 FortiGuard Global Security Research Team 中 Xiaopeng Zhang、Zhenhua Liu 及 Junfeng Jia 報告此問題。

  • iTunes

    CVE-ID:CVE-2009-0143

    適用於:Mac OS X v10.4.10 或以上版本、Mac OS X Server v10.4.10 或以上版本、Windows XP 或 Vista

    影響:訂閱惡意的 Podcast 可能導致 iTunes 使用者名稱和密碼洩漏

    描述:在 iTunes Podcast 功能中存在設計問題。訂閱惡意的 Podcast 可能導致向使用者顯示認證對話框。此對話框可能誘使使用者將 iTunes 憑證傳送至 Podcast 伺服器。此更新能在對話方塊中釐清認證要求的來源,因此解決了此問題。感謝 Simon Bellwood 報告此問題。

Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.