מידע על תוכן האבטחה של iTunes 8.1

מסמך זה מתאר את תוכן האבטחה של iTunes 8.1.

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד לביצוע חקירה מלאה בנושא ולהפצת מהדורות או רכיבי Patch חיוניים. למידע נוסף בנושא אבטחת מוצר של Apple, עיינו באתר האינטרנט אבטחת מוצר של Apple.

למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו בנושא "כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple".

היכן שניתן, מזהי CVE משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.

כדי ללמוד על עדכוני אבטחה נוספים, עיינו בנושא "עדכוני אבטחה של Apple."

iTunes 8.1

• iTunes

  CVE-ID‏: CVE-2009-0016

  זמין עבור: Windows XP או Windows Vista

  השפעה: שליחת הודעת DAAP בעלת מבנה זדוני עלולה לגרום למניעת שירות

  תיאור: קיימת לולאה אינסופית בטיפול בהודעות iTunes Digital Audio Access Protocol (‏DAAP). שליחת הודעה שמכילה פרמטר Content-Length בעל מבנה זדוני בכותרת ה-DAAP עלולה לגרום למניעת שירות. עדכון זה מטפל בבעיה על ידי ביצוע אימות נוסף של הודעות DAAP. בעיה זו אינה משפיעה על מערכות Mac OS X. תודה ל-Xiaopeng Zhang, ל-Zhenhua Liu ול-Junfeng Jia מצוות FortiGuard למחקר אבטחה גלובלית ב-Fortinet שדיווחו על הבעיה.

• iTunes

  CVE-ID‏: CVE-2009-0143

  זמין עבור: Mac OS X v10.4.10 ואילך, Mac OS X Server v10.4.10 ואילך, Windows XP או Windows Vista

  השפעה: הרשמה לפודקאסט שתוכנן במטרה לגרום נזק עלולה לגרום לחשיפת שם המשתמש והסיסמה לחשבון iTunes

  תיאור: קיימת בעיית תכנון בתכונת הפודקאסטים ב-iTunes. מינוי לפודקאסט שתוכנן במטרה לגרום נזק עלול לגרום לכך שתוצג למשתמש תיבת דו-שיח לביצוע אימות. תיבת הדו-שיח הזו עלולה לשדל את המשתמש לשלוח לשרת הפודקאסט את אישורי הכניסה שלו ל-iTunes. עדכון זה מטפל בבעיה על ידי ציון המקור לבקשת האימות בתיבת הדו-שיח. תודה ל-Simon Bellwood על הדיווח על בעיה זו.