Az iTunes 11.1.4 biztonsági tartalma
Ez a dokumentum az iTunes 11.1.4 biztonsági tartalmát ismerteti.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.
iTunes 11.1.4
iTunes
A következőkhöz érhető el: Mac OS X 10.6.8 és újabb, Windows 8, Windows 7, Windows Vista, valamint Windows XP SP2 és újabb
Érintett terület: A magas hálózati jogosultságú támadók módosítani tudták az iTunes-bemutatók ablakának tartalmát.
Leírás: Az iTunes-bemutatók ablakát nem védett HTTP-kapcsolatot használó hálózatról olvasta be a rendszer. A magas hálózati jogosultságú támadók tetszőleges tartalmakat tudtak elhelyezni. A probléma azáltal oldódott meg, hogy a rendszer most már titkosított HTTPS-kapcsolaton keresztül olvassa be a bemutatókat.
CVE-azonosító
CVE-2014-1242: Apple
iTunes
A következőkhöz érhető el: Windows 8, Windows 7, Windows Vista, valamint Windows XP SP2 és újabb
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: A szövegsávok kezelésében nem inicializált memória-hozzáféréssel kapcsolatos probléma állt fenn. A szövegsávok további ellenőrzésével hárították el a problémát.
CVE-azonosító
CVE-2013-1024 : Richard Kuo és Billy Suguitan (Triemt Corporation)
iTunes
A következőkhöz érhető el: Windows 8, Windows 7, Windows Vista, valamint Windows XP SP2 és újabb
Érintett terület: Az iTunes Store áruház iTunes alkalmazásban történő böngészésekor a közbeékelődő támadások alkalmazásleállást, illetve tetszőleges kódvégrehajtást tudtak előidézni.
Leírás: Több, memóriasérüléssel kapcsolatos probléma állt fenn a WebKit motorban. A memóriakezelés javítása révén küszöbölték ki a problémákat.
CVE-azonosító
CVE-2013-1037 : A Google Chrome biztonsági csapata
CVE-2013-1038 : A Google Chrome biztonsági csapata
CVE-2013-1039 : own-hero Research, valamint iDefense VCP
CVE-2013-1040 : A Google Chrome biztonsági csapata
CVE-2013-1041 : A Google Chrome biztonsági csapata
CVE-2013-1042 : A Google Chrome biztonsági csapata
CVE-2013-1043 : A Google Chrome biztonsági csapata
CVE-2013-1044: Apple
CVE-2013-1045 : A Google Chrome biztonsági csapata
CVE-2013-1046 : A Google Chrome biztonsági csapata
CVE-2013-1047: miaubiz
CVE-2013-2842 : Cyril Cattiaux
CVE-2013-5125 : A Google Chrome biztonsági csapata
CVE-2013-5126: Apple
CVE-2013-5127 : A Google Chrome biztonsági csapata
CVE-2013-5128: Apple
libxml
A következőkhöz érhető el: Windows 8, Windows 7, Windows Vista, valamint Windows XP SP2 és újabb
Érintett terület: Az iTunes Store áruház iTunes alkalmazásban történő böngészésekor a közbeékelődő támadások alkalmazásleállást, illetve tetszőleges kódvégrehajtást tudtak előidézni.
Leírás: Több, memóriasérüléssel kapcsolatos probléma állt fenn a libxml motorban. A libxml 2.9.0-s verzióra való frissítésével küszöbölték ki a hibákat.
CVE-azonosító
CVE-2011-3102 : Jüri Aedla
CVE-2012-0841
CVE-2012-2807 : Jüri Aedla
CVE-2012-5134 : A Google Chrome biztonsági csapata (Jüri Aedla)
libxslt
A következőkhöz érhető el: Windows 8, Windows 7, Windows Vista, valamint Windows XP SP2 és újabb
Érintett terület: Az iTunes Store áruház iTunes alkalmazásban történő böngészésekor a közbeékelődő támadások alkalmazásleállást, illetve tetszőleges kódvégrehajtást tudtak előidézni.
Leírás: Több, memóriasérüléssel kapcsolatos probléma állt fenn a libxslt motorban. A libxslt 1.1.28-as verzióra való frissítésével küszöbölték ki a hibákat.
CVE-azonosító
CVE-2012-2825 : Nicolas Gregoire
CVE-2012-2870 : Nicolas Gregoire
CVE-2012-2871 : Kai Lu (Fortinet's FortiGuard Labs), Nicolas Gregoire
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.