Informacje o zawartości związanej z zabezpieczeniami w aplikacji iTunes 10.5.1

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w aplikacji iTunes 10.5.1.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń Apple.

iTunes 10.5.1

iTunes

Dostępne dla: Mac OS X 10.5 i nowszych, Windows 7, Vista, XP SP2 i nowszych

Zagrożenie: atakujący może zastosować metodę man-in-the-middle, aby podszyć się pod Apple.

Opis: iTunes cyklicznie sprawdza dostępność uaktualnień oprogramowania za pomocą żądania HTTP kierowanego do Apple. Żądanie to może spowodować, że iTunes poinformuje o dostępności uaktualnienia. Jeśli usługa Apple Software Update dla systemu Windows nie jest zainstalowana, kliknięcie przycisku Pobierz iTunes może spowodować otwarcie adresu URL z odpowiedzi HTTP w domyślnej przeglądarce użytkownika. Problem ten został złagodzony przez użycie bezpiecznego połączenia podczas sprawdzania dostępności uaktualnień. W przypadku systemów OS X domyślna przeglądarka użytkownika nie jest używana, ponieważ usługa Apple Software Update jest dołączona do systemu OS X, jednak ta zmiana zapewnia dodatkową ochronę.

Identyfikator CVE

CVE-2008-3434: Francisco Amato z Infobyte Security Research