Informace o bezpečnostním obsahu iTunes 10.5.1.

Tento dokument popisuje bezpečnostní obsah iTunes 10.5.1.

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

iTunes 10.5.1

iTunes

K dispozici pro Mac OS X v10.5 a novější, Windows 7, Vista, XP SP2 a novější

Dopad: Útočník typu man-in-the-middle může nabídnout software, který vypadá jako originální software Apple.

Popis: iTunes pravidelně vyhledává aktualizace softwaru zasláním požadavku HTTP společnosti Apple. Tento požadavek může způsobit, že iTunes oznámí dostupnou aktualizaci. Pokud není nainstalována aplikace Apple Software Update for Windows, kliknutí na tlačítko Stáhnout iTunes může otevřít adresu URL z odpovědi HTTP ve výchozím prohlížeči uživatele. Tento problém byl zmírněn použitím zabezpečeného připojení při vyhledávání dostupných aktualizací. V systémech OS X se výchozí prohlížeč uživatele nepoužívá, protože aplikace Apple Software Update je součástí systému OS X. Tato změna však přidává další hloubku obrany.

CVE-ID

CVE-2008-3434 : Francisco Amato z týmu Infobyte Security Research