Az iTunes 10.5.1 biztonsági változásjegyzéke

Ez a dokumentum az iTunes 10.5.1 biztonsági változásjegyzékét ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.

iTunes 10.5.1

iTunes

A következőkhöz érhető el: Mac OS X v10.5 or later, Windows 7, Vista, XP SP2 vagy újabb verzió

Érintett terület: Előfordult, hogy egy közbeékelődéses (man-in-the-middle) támadó egy, látszólag az Apple-től származó szoftvert kínált

Leírás: Az iTunes egy, az Apple-nek küldött HTTP-kérelem segítségével rendszeresen ellenőrzi a szoftverfrissítések rendelkezésre állását. Ezen kérelem következtében az iTunes tévesen arról tájékoztathat, hogy rendelkezésre áll egy frissítés. Ha az Apple Software Update Windows rendszerhez alkalmazás nincs telepítve, az iTunes letöltése gombra kattintva megnyitható a HTTP-válasz URL-címe a felhasználó alapértelmezett böngészőjében. Ezt a problémát úgy küszöböltük ki, hogy biztonságos kapcsolatot használunk az elérhető frissítések keresésekor. OS X rendszerek esetén nincs használatban a felhasználó alapértelmezett böngészője, mivel az Apple Software Update nem képezi részét az OS X verziónak, jelen változtatás azonban további mélyreható védelmet biztosít.

CVE-azonosító

CVE-2008-3434 : Francisco Amato (Infobyte Security Research)