Informationen zum Sicherheitsinhalt von iTunes 10.5.1

In diesem Dokument wird der Sicherheitsinhalt von iTunes 10.5.1 beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter „Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit“.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates findest du unter „Apple-Sicherheitsupdates“.

iTunes 10.5.1

iTunes

Verfügbar für: Mac OS X v10.5 oder neuer, Windows 7, Vista, XP SP2 oder neuer

Auswirkung: Ein Man-in-the-Middle-Angreifer kann Software anbieten, die scheinbar von Apple stammt.

Beschreibung: iTunes prüft regelmäßig mit einer HTTP-Anfrage an Apple, ob Softwareupdates vorliegen. Diese Anfrage kann dazu führen, dass iTunes anzeigt, dass eine Aktualisierung verfügbar ist. Wenn das Apple Software Update für Windows nicht installiert ist, kann durch Klicken auf den Button „iTunes laden“ die URL aus der HTTP-Antwort im Standardbrowser des Benutzers geöffnet werden. Dieses Problem wurde entschärft, indem bei der Suche nach verfügbaren Updates eine sichere Verbindung verwendet wird. Bei OS X-Systemen wird der Standardbrowser des Benutzers nicht verwendet, da das Apple-Softwareupdate im Lieferumfang von OS X enthalten ist; diese Änderung sorgt jedoch für zusätzliche Sicherheit.

CVE-ID

CVE-2008-3434: Francisco Amato von Infobyte Security Research