על אודות תוכן האבטחה של iTunes 8.0

מסמך זה מתאר את תוכן האבטחה של iTunes 8.0, שניתן להוריד ולהתקין באמצעות העדפות עדכוני תוכנה, או מתוך הורדות של Apple.

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד לביצוע חקירה מלאה בנושא ולהפצת מהדורות או רכיבי Patch חיוניים. למידע נוסף בנושא אבטחת מוצר של Apple, עיינו באתר האינטרנט אבטחת מוצר של Apple.

למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו ב-"כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple".

היכן שניתן, מזהי CVE משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.

כדי ללמוד על עדכוני אבטחה נוספים, עיינו ב"עדכוני אבטחה של Apple".

iTunes 8.0

• iTunes

  CVE-ID‏: CVE-2008-3634

  זמין עבור: Mac OS X v10.4.11, Mac OS X Server v10.4.11

  השפעה: תיבת הדו-שיח של אזהרת חומת האש ב-iTunes מטעה

  תיאור: כאשר חומת האש מוגדרת לחסום את 'שיתוף מוזיקה ב-iTunes' והמשתמש מאפשר 'שיתוף מוזיקה ב-iTunes', מוצגת ב-iTunes הודעת אזהרה, המודיעה למשתמש באופן שגוי שביטול החסימה של 'שיתוף מוזיקה ב-iTunes' אינו משפיע על אבטחת חומת האש. מתן אפשרות ל'שיתוף מוזיקה ב-iTunes' או לכל שירות אחר להיכנס דרך חומת האש משפיע באופן אינהרנטי על האבטחה בכך שהוא חושף את השירות לישויות מרוחקות. עדכון זה מטפל בבעיה על-ידי מיקוד הטקסט בהודעת האזהרה. בעיה זו אינה משפיעה על מערכות שבהן פועלת Mac OS X גרסה 10.5 ואילך. ברצוננו להודות לאריק הול מ-.DarkArt Consulting Services, Inc על דיווח הבעיה.

• iTunes

  CVE-ID‏: CVE-2008-3636

  זמין עבור: Windows XP או Vista

  השפעה: משתמש מקומי עלול לקבל הרשאות מערכת

  תיאור: מנהל התקן של צד שלישי שסופק עם iTunes עלול לגרום לגלישה נומרית, ועלול לאפשר למשתמש מקומי לקבל הרשאות מערכת. ברצוננו להודות לרובן סנטמרטה מ-Wintercore על דיווח הבעיה.