Informationen zum Sicherheitsinhalt von iTunes 11.2

In diesem Dokument wird der Sicherheitsinhalt von iTunes 11.2 beschrieben.

Diese Aktualisierung kann über die Option „Softwareupdate“ oder von der Apple Supportwebsite geladen und installiert werden.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter „Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit“.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates findest du unter „Apple-Sicherheitsupdates“.

iTunes 11.2

  • iTunes

    Verfügbar für: Windows 8, Windows 7, Vista, und XP SP3 oder neuer

    Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann iTunes-Anmeldedaten abrufen.

    Beschreibung: Die HTTP-Header Set-Cookie würden verarbeiten werden, selbst wenn die Verbindung geschlossen wurden, bevor die Headerzeile vollständig war. Ein Angreifer könnte die Sicherheitseinstellungen aus dem Cookie löschen, indem das Schließen der Verbindung erzwungen wird, bevor die Sicherheitseinstellungen gesendet wurden, und dann den Wert des ungeschützten Cookies abrufen. Dieses Problem wurde durch Ignorieren unvollständiger HTTP-Headerzeilen behoben.

    CVE-ID

    CVE-2014-1296

  • iTunes

    Verfügbar für: Windows 8, Windows 7, Vista, und XP SP3 oder neuer

    Auswirkung: Das Anzeigen einer in böswilliger Absicht erstellten Audio- oder Filmdatei kann zu einer unerwarteten Beendigung der Anwendung oder zur Ausführung von willkürlichem Code führen.

    Beschreibung: Bei der MP4-Analyse in iTunes gab es ein Problem mit Speicherbeschädigung. Dieses Problem wurde durch eine zusätzliche Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-8842: Karl Smith von der NCC Group

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: