Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας για το iTunes 10.5.1

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας για το iTunes 10.5.1.

H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.

Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο «Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple».

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.

Για να ενημερωθείτε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο «Ενημερώσεις ασφάλειας Apple».

iTunes 10.5.1

iTunes

Διατίθεται για: Mac OS X v10.5 ή νεότερη έκδοση, Windows 7, Vista, XP SP2 ή νεότερη έκδοση

Αποτέλεσμα: Ένας εισβολέας με δυνατότητα μεσολάβησης μπορεί να προσφέρει λογισμικό που φαίνεται να προέρχεται από την Apple

Περιγραφή: Το iTunes ελέγχει τακτικά για ενημερώσεις λογισμικού χρησιμοποιώντας αίτημα HTTP προς την Apple. Αυτό το αίτημα ενδέχεται να κάνει το iTunes να υποδείξει ότι υπάρχει διαθέσιμη ενημέρωση. Αν δεν είναι εγκατεστημένη η ενημέρωση Apple Software Update for Windows, το κλικ στο κουμπί «Λήψη του iTunes» ενδέχεται να ανοίξει τη διεύθυνση URL από την απόκριση HTTP στο προεπιλεγμένο πρόγραμμα περιήγησης του χρήστη. Αυτό το πρόβλημα έχει αμβλυνθεί με χρήση ασφαλισμένης σύνδεσης κατά τον έλεγχο για διαθέσιμες ενημερώσεις. Για συστήματα OS X, το προεπιλεγμένο πρόγραμμα περιήγησης του χρήστη δεν χρησιμοποιείται, καθώς η Ενημέρωση λογισμικού Apple περιλαμβάνεται με το OS X, ωστόσο αυτή η αλλαγή προσθέτει ένα επιπλέον «defense-in-depth».

Αναγνωριστικό CVE

CVE-2008-3434: Francisco Amato της Infobyte Security Research