Informazioni sui contenuti di sicurezza di iTunes 10.5.1

In questo documento vengono descritti i contenuti di sicurezza di iTunes 10.5.1.

Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza, consulta l'articolo che parla degli aggiornamenti di sicurezza Apple.

iTunes 10.5.1

iTunes

Disponibile per: Mac OS X 10.5 o versioni successive, Windows 7, Vista, XP o versioni successive

Impatto: un utente malintenzionato può portare a termine attacchi man-in-the-middle con un software che sembra provenire da Apple.

Descrizione: iTunes verifica periodicamente la presenza di aggiornamenti software tramite una richiesta HTTP a Apple. Questa richiesta può far sì che iTunes indichi che è disponibile un aggiornamento. Se Apple Software Update per Windows non è installato, facendo clic sul pulsante Scarica iTunes si può aprire l'URL della risposta HTTP nel browser predefinito dell'utente. Questo problema è stato ridotto utilizzando una connessione protetta durante il controllo della disponibilità di aggiornamenti. Per i sistemi OS X, il browser predefinito dell'utente non viene utilizzato perché Apple Software Update è incluso in OS X, tuttavia questa modifica aggiunge un'ulteriore defense-in-depth.

ID CVE

CVE-2008-3434: Francisco Amato di Infobyte Security Research