Over de beveiligingsinhoud van iTunes 10.5.1

In dit document wordt de beveiligingsinhoud van iTunes 10.5.1 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple beveiligingsreleases voor meer informatie over andere beveiligingsupdates.

iTunes 10.5.1

iTunes

Beschikbaar voor: Mac OS X v10.5 or nieuwer, Windows 7, Vista, XP SP2 of nieuwer

Impact: een man-in-the-middle-aanvaller kan software aanbieden die van Apple afkomstig lijkt te zijn

Beschrijving: iTunes controleert regelmatig op software-updates met een HTTP-verzoek aan Apple. Dit verzoek kan ertoe leiden dat iTunes aangeeft dat er een update beschikbaar is. Als Apple Software Update voor Windows niet geïnstalleerd is, kan het aanklikken van de knop 'Download iTunes' ervoor zorgen dat de URL van de HTTP-respons in de standaardbrowser van de gebruiker geopend wordt. Dit probleem is verholpen door een beveiligde verbinding te gebruiken om te controleren op beschikbare updates. Voor systemen met OS X wordt de standaardbrowser van de gebruiker niet gebruikt omdat Apple Software Update meegeleverd wordt met OS X, maar deze wijziging maakt de beveiliging wel grondiger.

CVE-ID

    CVE-2008-3434: Francisco Amato van Infobyte Security Research

Publicatiedatum: