Over de beveiligingsinhoud van iTunes 11.1.4

In dit document wordt de beveiligingsinhoud van iTunes 11.1.4 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg ‘Hoe gebruikt u de Apple Product Security PGP-sleutel’ voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg ‘Apple-beveiligingsupdates’ voor meer informatie over andere beveiligingsupdates.

iTunes 11.1.4

• iTunes

  Beschikbaar voor: Mac OS X v10.6.8 of hoger, Windows 8, Windows 7, Vista en XP SP2 of hoger

  Impact: een aanvaller met een geprivilegieerde netwerkpositie kan de controle over de inhoud van het venster iTunes-video’s hebben

  Beschrijving: de inhoud van het venster iTunes-video’s wordt opgehaald vanaf het netwerk via een niet-beveiligde HTTP-verbinding. Een aanvaller met een geprivilegieerde netwerkpositie kan willekeurige inhoud plaatsen. Dit probleem is verholpen door een gecodeerde HTTPS-verbinding te gebruiken voor het ophalen van video’s.

  CVE-ID

  CVE-2014-1242: Apple

• iTunes

  Beschikbaar voor: Windows 8, Windows 7, Vista en XP SP2 of hoger

  Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was een probleem met een niet-geïnitialiseerde geheugentoegang bij de verwerking van tekstsporen. Dit probleem is verholpen door een extra validatie van tekstsporen.

  CVE-ID

  CVE-2013-1024: Richard Kuo en Billy Suguitan van Triemt Corporation

• iTunes

  Beschikbaar voor: Windows 8, Windows 7, Vista en XP SP2 of hoger

  Impact: een ‘man-in-the-middle’-aanval bij het navigeren in de iTunes Store via iTunes kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

  Beschrijving: er waren meerdere problemen met geheugenbeschadiging in WebKit. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.

  CVE-ID

  CVE-2013-1037: Google Chrome Security Team

  CVE-2013-1038: Google Chrome Security Team

  CVE-2013-1039: own-hero Research in samenwerking met iDefense VCP

  CVE-2013-1040: Google Chrome Security Team

  CVE-2013-1041: Google Chrome Security Team

  CVE-2013-1042: Google Chrome Security Team

  CVE-2013-1043: Google Chrome Security Team

  CVE-2013-1044: Apple

  CVE-2013-1045: Google Chrome Security Team

  CVE-2013-1046: Google Chrome Security Team

  CVE-2013-1047: miaubiz

  CVE-2013-2842: Cyril Cattiaux

  CVE-2013-5125: Google Chrome Security Team

  CVE-2013-5126: Apple

  CVE-2013-5127: Google Chrome Security Team

  CVE-2013-5128: Apple

• libxml

  Beschikbaar voor: Windows 8, Windows 7, Vista en XP SP2 of hoger

  Impact: een ‘man-in-the-middle’-aanval bij het navigeren in de iTunes Store via iTunes kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

  Beschrijving: er waren meerdere problemen met geheugenbeschadiging in libxml. Deze problemen zijn verholpen door libxml bij te werken naar versie 2.9.0.

  CVE-ID

  CVE-2011-3102: Jüri Aedla

  CVE-2012-0841

  CVE-2012-2807: Jüri Aedla

  CVE-2012-5134: Google Chrome Security Team (Jüri Aedla)

• libxslt

  Beschikbaar voor: Windows 8, Windows 7, Vista en XP SP2 of hoger

  Impact: een ‘man-in-the-middle’-aanval bij het navigeren in de iTunes Store via iTunes kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

  Beschrijving: er waren meerdere problemen met geheugenbeschadiging in libxslt. Deze problemen zijn verholpen door libxslt bij te werken naar versie 1.1.28.

  CVE-ID

  CVE-2012-2825: Nicolas Gregoire

  CVE-2012-2870: Nicolas Gregoire

  CVE-2012-2871: Kai Lu van Fortinet’s FortiGuard Labs, Nicolas Gregoire