Informationen zum Sicherheitsinhalt von iTunes 8.1

In diesem Dokument wird der Sicherheitsinhalt von iTunes 8.1 beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter „Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit“.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates findest du unter „Apple-Sicherheitsupdates“.

iTunes 8.1

  • iTunes

    CVE-ID: CVE-2009-0016

    Verfügbar für: Windows XP oder Vista

    Auswirkung: Das Senden einer in böswilliger Absicht erstellten DAAP-Nachricht kann zu einem Denial-of-Service führen

    Beschreibung: Bei der Verarbeitung von iTunes Digital Audio Access Protocol (DAAP)-Nachrichten gibt es eine Endlosschleife. Das Senden einer Nachricht, die einen in böswilliger Absicht erstellten Content-Length-Parameter im DAAP-Header enthält, kann zu einem Denial-of-Service führen. Dieses Update behebt das Problem durch eine zusätzliche Überprüfung von DAAP-Nachrichten. Mac OS X-Systeme sind nicht von diesem Problem betroffen. Wir danken Xiaopeng Zhang, Zhenhua Liu und Junfeng Jia von Fortinet's FortiGuard Global Security Research Team für die Meldung dieses Problems.

  • iTunes

    CVE-ID: CVE-2009-0143

    Verfügbar für: Mac OS X v10.4.10 oder neuer, Mac OS X Server v10.4.10 oder neuer, Windows XP oder Vista

    Auswirkung: Das Abonnieren eines in böswilliger Absicht erstellten Podcasts kann zur Offenlegung des iTunes-Benutzernamens und -Passworts führen.

    Beschreibung: Es gibt ein Designproblem in der iTunes-Podcast-Funktion. Ein Abonnement eines in böswilliger Absicht erstellten Podcasts kann dazu führen, dass dem Benutzer ein Authentifizierungsdialog angezeigt wird. Dieser Dialog kann den Benutzer dazu verleiten, iTunes-Anmeldedaten an den Podcast-Server zu senden. Dieses Update behebt das Problem, indem es den Ursprung der Authentifizierungsanforderung im Dialogfeld klarstellt. Wir danken Simon Bellwood für die Meldung dieses Problems.

Wichtig: Informationen zu Produkten, die nicht von Apple hergestellt wurden, werden lediglich zu Informationszwecken zur Verfügung gestellt und stellen keine Empfehlung oder Billigung seitens Apple dar. Weitere Informationen sind beim Anbieter erhältlich.

Veröffentlichungsdatum: