Сведения о проблемах системы безопасности, устраняемых обновлением iTunes 10.5.1

В этом документе описаны проблемы безопасности, устраняемые обновлением iTunes 10.5.1.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Выпуски безопасности Apple.

iTunes 10.5.1

iTunes

Целевые продукты: Mac OS X 10.5 или более поздней версии, Windows 7, Vista, XP SP2 или более поздней версии

Воздействие. Злоумышленник, выполняющий атаку с перехватом, может предложить программное обеспечение якобы от компании Apple

Описание. iTunes периодически проверяет наличие обновлений посредством отправки запроса HTTP в адрес Apple. В результате этого запроса iTunes может указать на наличие обновления. Если приложение Apple Software Update для Windows не установлено, при нажатии на кнопку «Загрузить iTunes» может открыться URL-адрес из ответа HTTP в браузере по умолчанию. Эта проблема устранена посредством использования защищенного подключения при проверке наличия обновлений. Для OS X браузер по умолчанию не используется, так как приложение Apple Software Update не входит в состав OS X, однако это изменение углубляет систему защиты.

Идентификатор CVE

CVE-2008-3434: Francisco Amato из Infobyte Security Research