Sobre o conteúdo de segurança do iTunes 11.2

Este documento descreve o conteúdo de segurança do iTunes 11.2.

É possível baixar e instalar essa atualização por meio da Atualização de Software ou do site de Suporte da Apple.

Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de Segurança, consulte o artigo Versões de segurança da Apple.

iTunes 11.2

• iTunes

  Disponível para: Windows 8, Windows 7, Vista e XP SP3 ou posterior

  Impacto: um invasor em posição de rede privilegiada pode obter as credenciais do iTunes

  Descrição: os cabeçalhos HTTP Set-Cookie seriam processados mesmo que a conexão fosse fechada antes que a linha do cabeçalho fosse concluída. Um invasor poderia remover os ajustes de segurança do cookie forçando o fechamento da conexão antes do envio dos ajustes de segurança e, em seguida, obter o valor do cookie desprotegido. Esse problema foi resolvido ignorando as linhas de cabeçalho HTTP incompletas.

  CVE-ID

  CVE-2014-1296

• iTunes

  Disponível para: Windows 8, Windows 7, Vista e XP SP3 ou posterior

  Impacto: ver um arquivo de áudio ou vídeo criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução de códigos arbitrários

  Descrição: havia um problema de corrupção da memória na análise de MP4 do iTunes. Esse problema foi resolvido por meio de outra verificação de limites.

  CVE-ID

  CVE-2014-8842 : Karl Smith do NCC Group