Acerca del contenido de seguridad de iTunes 11.2
En este documento, se describe el contenido de seguridad de iTunes 11.2.
Esta actualización se puede descargar e instalar mediante Actualización de software o el sitio web del Soporte técnico de Apple.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, consulta el sitio web Seguridad de los productos Apple.
Para obtener información acerca de la clave PGP de seguridad de los productos Apple, consulta “Cómo usar la clave PGP de seguridad de los productos Apple”.
A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.
Para obtener información acerca de las actualizaciones de seguridad, consulta “Actualizaciones de seguridad de Apple”.
iTunes 11.2
iTunes
Disponible para Windows 8, Windows 7, Vista y XP SP3 o versiones posteriores
Impacto: Un atacante en una posición de red privilegiada podía obtener credenciales de iTunes.
Descripción: Los encabezados HTTP Set-Cookie se procesaban, aunque la conexión se cerrara antes de que se completara la línea de encabezado. Un atacante podía desmontar la configuración de seguridad de la cookie forzando el cierre de la conexión antes de que se enviara la configuración de seguridad y, así, obtener el valor de la cookie desprotegida. Este problema se solucionó mediante la omisión de las líneas de encabezado HTTP incompletas.
CVE-ID
CVE-2014-1296
iTunes
Disponible para Windows 8, Windows 7, Vista y XP SP3 o versiones posteriores
Impacto: La visualización de un archivo de audio o video creado con fines malintencionados podía ocasionar el cierre inesperado de la app o la ejecución de código arbitrario.
Descripción: Existía un problema de daños en la memoria en el análisis de archivos MP4 en iTunes. Este problema se solucionó mediante una comprobación adicional de los límites.
CVE-ID
CVE-2014-8842 : Karl Smith de NCC Group
La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.