Informacje o zawartości związanej z zabezpieczeniami w aplikacji iTunes 8.1
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w aplikacji iTunes 8.1.
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
iTunes 8.1
iTunes
Identyfikator CVE: CVE-2009-0016
Dostępne dla: Windows XP lub Windows Vista
Zagrożenie: wysłanie złośliwie spreparowanego komunikatu DAAP może doprowadzić do ataku typu „odmowa usługi”.
Opis: w procedurach obsługi komunikatów protokołu dostępu do audio cyfrowego (DAAP, Digital Audio Access Protocol) w programie iTunes występuje nieskończona pętla. Wysłanie komunikatu DAAP zawierającego w nagłówku złośliwie spreparowany parametr Content-Length może doprowadzić do ataku typu „odmowa usługi”. To uaktualnienie rozwiązuje ten problem, powodując dodatkowe sprawdzanie poprawności komunikatów DAAP. Ten problem nie występuje na komputerach z systemem Mac OS X. Problem zgłosił Xiaopeng Zhang, Zhenhua Liu oraz Junfeng Jia z zespołu FortiGuard Global Security Research Team firmy Fortinet.
iTunes
Identyfikator CVE: CVE-2009-0143
Dostępne dla: Mac OS X 10.4.10 lub nowszy, Mac OS X Server 10.4.10 lub nowszy, Windows XP lub Windows Vista
Zagrożenie: zasubskrybowanie podcastu o złośliwym działaniu może doprowadzić do ujawnienia nazwy użytkownika i hasła używanych w programie iTunes.
Opis: funkcja podcastów w programie iTunes zawiera błąd projektowy. Zasubskrybowanie podcastu o złośliwym działaniu może spowodować wyświetlenie okna dialogowego uwierzytelniania. To okno może skłonić użytkownika do wysłania danych logowania używanych w programie iTunes do serwera podcastu. To uaktualnienie rozwiązuje ten problem, powodując wyświetlanie w oknie dialogowym jednoznacznych informacji dotyczących pochodzenia żądania uwierzytelniania. Problem zgłosił Simon Bellwood.
Ważne: informacje o produktach niewyprodukowanych przez Apple są dostarczane wyłącznie w celach informacyjnych i nie stanowią rekomendacji ani poparcia Apple. Dodatkowe informacje można uzyskać, kontaktując się z dostawcą.
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.