Om sikkerhetsinnholdet i iTunes 7.4

Dette dokumentet beskriver sikkerhetsinnholdet til iTunes 7.4, som kan lastes ned og installeres via Programvareoppdatering, eller fra Apple-nedlastinger.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Mer informasjon finnes her: Apple-produktsikkerhet.

Mer informasjon finnes her: Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet.

Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.

Mer informasjon om andre sikkerhetsoppdateringer finnes her: Apple-sikkerhetsoppdateringer.

iTunes 7.4

iTunes

CVE-ID: CVE-2007-3752

Tilgjengelig for Mac OS X 10.3.9, Mac OS X 10.4.7 eller nyere, Windows XP/Vista

Virkning: Åpning av en skadelig musikkfil kan føre til uventet avslutning av en app eller utilsiktet kodekjøring.

Beskrivelse: Det finnes en bufferoverflyt i iTunes ved behandling av albumomslag. Ved å lure en bruker til å åpne en skadelig musikkfil kan en angriper utløse en overflyt som kan forårsake uventet avslutning av en app eller utilsiktet kodekjøring. Denne oppdateringen løser problemet ved å utføre riktig avgrensningskontroll. Takk til David Thiel hos iSEC Partners for å ha rapportert dette problemet.