Over de beveiligingsinhoud van iTunes 11.2

In dit document wordt de beveiligingsinhoud van iTunes 11.2 beschreven.

Deze update kan worden gedownload en geïnstalleerd via Software-update of vanaf de Apple Support-website.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple beveiligingsreleases voor meer informatie over andere beveiligingsupdates.

iTunes 11.2

• iTunes

  Beschikbaar voor: Windows 8, Windows 7, Vista en XP SP3 of nieuwer

  Impact: een aanvaller in een geprivilegieerde netwerkpositie kan iTunes-inloggegevens verkrijgen

  Beschrijving: HTTP-headers 'Set-Cookie' worden dan verwerkt zelfs als de verbinding wordt verbroken voordat de headerregel is voltooid. Een aanvaller kan beveiligingsinstellingen strippen uit de cookie door de verbinding geforceerd te verbreken voordat de beveiligingsinstellingen zijn verzonden en daarna de waarde van de onbeveiligde cookie verkrijgen. Dit probleem is opgelost door onvolledige HTTP-headerregels te negeren.

  CVE-ID

  CVE-2014-1296

• iTunes

  Beschikbaar voor: Windows 8, Windows 7, Vista en XP SP3 of nieuwer

  Impact: het bekijken van een kwaadwillig vervaardigd audio- of filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was een probleem met geheugenbeschadiging bij het parseren van MP4-bestanden in iTunes. Dit probleem is verholpen door middel van een verbeterde bereikcontrole.

  CVE-ID

  CVE-2014-8842: Karl Smith van NCC Group