Om sikkerhetsinnholdet i iTunes 11.2

Dette dokumentet beskriver sikkerhetsinnholdet i iTunes 11.2.

Denne oppdateringen kan lastes ned og installeres via Programvareoppdatering eller fra nettstedet for Apple-kundestøtte.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.

Hvis du vil ha mer informasjon om PGP-nøkkelen for Apple-produktsikkerhet, kan du lese «Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet.»

Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.

Hvis du vil ha mer informasjon om andre sikkerhetsoppdateringer, går du til «Sikkerhetsoppdateringer fra Apple.»

iTunes 11.2

• iTunes

  Tilgjengelig for: Windows 8, Windows 7, Vista og XP SP3 eller nyere

  Virkning: En angriper i en privilegert nettverksposisjon kan innhente iTunes-legitimasjon

  Beskrivelse: HTTP-overskrifter for satte informasjonskapsler vil bli behandlet selv om tilkoblingen lukkes før overskriftslinjen er fullført. En angriper kan fjerne sikkerhetsinnstillinger fra informasjonskapselen ved å tvinge tilkoblingen til å lukkes før sikkerhetsinnstillingene blir sendt, og deretter innhente verdien av den ubeskyttede informasjonskapselen. Dette problemet ble løst ved å ignorere ufullstendige HTTP-overskriftslinjer.

  CVE-ID

  CVE-2014-1296

• iTunes

  Tilgjengelig for: Windows 8, Windows 7, Vista og XP SP3 eller nyere

  Virkning: Visning av en ondsinnet lyd- eller filmfil kan føre til en uventet programterminering eller vilkårlig kodeutførelse

  Beskrivelse: Det fantes et problem med minnekorrupsjon i iTunes MP4-behandling. Problemet ble løst gjennom ytterligere grenseverdikontroll.

  CVE-ID

  CVE-2014-8842 : Karl Smith fra NCC Group