Zawartość związana z zabezpieczeniami w aplikacji iTunes 7.4

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w aplikacji iTunes 7.4, którą można pobrać i zainstalować za pośrednictwem preferencji funkcji Uaktualnienia oprogramowania lub z witryny Apple z materiałami do pobrania.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

iTunes 7.4

iTunes

Identyfikator CVE: CVE-2007-3752

Dostępne dla: Mac OS X 10.3.9, Mac OS X 10.4.7 lub nowszy, Windows XP/Vista

Zagrożenie: otwarcie złośliwie spreparowanego pliku muzycznego może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: podczas przetwarzania okładek albumów w iTunes występuje przepełnienie buforu. Nakłaniając użytkownika do otwarcia złośliwie spreparowanego pliku muzycznego, atakujący może wywołać przepełnienie, które może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. To uaktualnienie rozwiązuje ten problem, przeprowadzając odpowiednie sprawdzanie ograniczeń. Podziękowania dla Davida Thiela z iSEC Partners za zgłoszenie tego problemu.