Informace o bezpečnostním obsahu iTunes 11.0.3

Přečtěte si informace o bezpečnostním obsahu iTunes 11.0.3.

Tento dokument popisuje bezpečnostní obsah iTunes 11.0.3, který jde stáhnout a nainstalovat pomocí předvoleb Aktualizace softwaru nebo z webu Apple se soubory ke stažení.

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

iTunes 11.0.3

• iTunes

  K dispozici pro: Mac OS X v10.6.8 a novější, Windows 7, Vista, XP SP2 a novější

  Dopad: Útočník s vysokými oprávněními v síti může manipulovat s certifikáty serveru HTTPS, což může vést ke zveřejnění citlivých informací.

  Popis: V iTunes docházelo k problému s ověřením certifikátu. V určitých kontextech mohl aktivní útočník v síti předložit aplikaci iTunes nedůvěryhodné certifikáty, které byly bez upozornění přijaty. Problém byl vyřešen vylepšením ověřování certifikátu.

  CVE-ID

  CVE-2013-1014: Christopher ze společnosti ThinkSECURE Pte Ltd, Christopher Hickstein z Minnesotské university

• iTunes

  K dispozici pro: Windows 7, Vista, XP SP2 a novější

  Dopad: Útok typu „man in the middle“ během procházení iTunes Storu prostřednictvím iTunes může způsobit neočekávané ukončení aplikace nebo spuštění libovolného kódu.

  Popis: Ve WebKitu existovalo několik problémů s poškozením paměti. Problémy byly vyřešeny vylepšením správy paměti.

  CVE-ID

  CVE-2012-2824: miaubiz

  CVE-2012-2857: Arthur Gerkis

  CVE-2012-3748: Joost Pol a Daan Keuper ze společnosti Certified Secure ve spolupráci s iniciativou Zero Day Initiative společnosti HP TippingPoint

  CVE-2012-5112: Pinkie Pie v rámci soutěže Pwnium 2 společnosti Google

  CVE-2013-0879: Atte Kettunen ze společnosti OUSPG

  CVE-2013-0912: Nils a Jon ze společnosti MWR Labs ve spolupráci s iniciativou Zero Day Initiative společnosti HP TippingPoint

  CVE-2013-0948: Abhishek Arya (Inferno) z týmu Google Chrome Security

  CVE-2013-0949: Abhishek Arya (Inferno) z týmu Google Chrome Security

  CVE-2013-0950: Abhishek Arya (Inferno) z týmu Google Chrome Security

  CVE-2013-0951: Apple

  CVE-2013-0952: Abhishek Arya (Inferno) z týmu Google Chrome Security

  CVE-2013-0953: Abhishek Arya (Inferno) z týmu Google Chrome Security

  CVE-2013-0954: Dominic Cooney ze společnosti Google a Martin Barbella z týmu Google Chrome Security

  CVE-2013-0955: Apple

  CVE-2013-0956: Zabezpečení produktů Apple

  CVE-2013-0958: Abhishek Arya (Inferno) z týmu Google Chrome Security

  CVE-2013-0959: Abhishek Arya (Inferno) z týmu Google Chrome Security

  CVE-2013-0960: Apple

  CVE-2013-0961: wushi z týmu team509 ve spolupráci s iDefense VCP

  CVE-2013-0991: Jay Civelli z komunity pro vývoj Chromium

  CVE-2013-0992: Tým Google Chrome Security (Martin Barbella)

  CVE-2013-0993: Tým Google Chrome Security (Inferno)

  CVE-2013-0994: David German ze společnosti Google

  CVE-2013-0995: Tým Google Chrome Security (Inferno)

  CVE-2013-0996: Tým Google Chrome Security (Inferno)

  CVE-2013-0997: Vitaliy Toropov ve spolupráci s iniciativou Zero Day Initiative společnosti HP TippingPoint

  CVE-2013-0998: pa_kt ve spolupráci s iniciativou Zero Day Initiative společnosti HP TippingPoint

  CVE-2013-0999: pa_kt ve spolupráci s iniciativou Zero Day Initiative společnosti HP TippingPoint

  CVE-2013-1000: Fermin J. Serna z týmu Google Security

  CVE-2013-1001: Ryan Humenick

  CVE-2013-1002: Sergey Glazunov

  CVE-2013-1003: Tým Google Chrome Security (Inferno)

  CVE-2013-1004: Tým Google Chrome Security (Martin Barbella)

  CVE-2013-1005: Tým Google Chrome Security (Martin Barbella)

  CVE-2013-1006: Tým Google Chrome Security (Martin Barbella)

  CVE-2013-1007: Tým Google Chrome Security (Inferno)

  CVE-2013-1008: Sergey Glazunov

  CVE-2013-1010: miaubiz

  CVE-2013-1011: Tým Google Chrome Security (Inferno)