Informace o bezpečnostním obsahu iTunes 8.1.

Tento dokument popisuje bezpečnostní obsah iTunes 8.1.

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

iTunes 8,1

• iTunes

  CVE-ID: CVE-2009-0016

  K dispozici pro: Windows XP nebo Vista

  Dopad: Odeslání škodlivé zprávy protokolu DAAP může vést k odmítnutí služby.

  Popis: Při zpracovávání zpráv protokolu DAAP (Digital Audio Access Protocol) dochází k nekonečné smyčce. Odeslání zprávy obsahující škodlivý parametr Content-Length v hlavičce DAAP může vést k zamítnutí služby. Tato aktualizace řeší problém dalším ověřováním zpráv DAAP. Tento problém se netýká systémů Mac OS X. Poděkování za nahlášení tohoto problému zaslouží Xiaopeng Zhang, Zhenhua Liu a Junfeng Jia z týmu FortiGuard Global Security Research Team společnosti Fortinet.

• iTunes

  CVE-ID: CVE-2009-0143

  K dispozici pro: Mac OS X v10.4.10 nebo novější, Mac OS X Server v10.4.10 nebo novější, Windows XP nebo Vista

  Dopad: Přihlášení k odběru škodlivého podcastu může vést ke zveřejnění uživatelského jména a hesla k iTunes.

  Popis: Ve funkci podcastů iTunes existuje problém návrhu. Předplatné škodlivého podcastu může způsobit, že se uživateli zobrazí ověřovací dialogové okno. Toto dialogové okno může uživatele vyzvat k odeslání pověření pro iTunes na server podcastů. Tato aktualizace problém řeší vyjasněním původu žádosti o ověření v dialogovém okně. Poděkování za nahlášení problému zaslouží Simon Bellwood.