Informacje o zawartości związanej z zabezpieczeniami w aplikacji iTunes 8.1

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w aplikacji iTunes 8.1.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

iTunes 8.1

• iTunes

  Identyfikator CVE: CVE-2009-0016

  Dostępne dla: Windows XP lub Windows Vista

  Zagrożenie: wysłanie złośliwie spreparowanego komunikatu DAAP może doprowadzić do ataku typu „odmowa usługi”.

  Opis: w procedurach obsługi komunikatów protokołu dostępu do audio cyfrowego (DAAP, Digital Audio Access Protocol) w programie iTunes występuje nieskończona pętla. Wysłanie komunikatu DAAP zawierającego w nagłówku złośliwie spreparowany parametr Content-Length może doprowadzić do ataku typu „odmowa usługi”. To uaktualnienie rozwiązuje ten problem, powodując dodatkowe sprawdzanie poprawności komunikatów DAAP. Ten problem nie występuje na komputerach z systemem Mac OS X. Problem zgłosił Xiaopeng Zhang, Zhenhua Liu oraz Junfeng Jia z zespołu FortiGuard Global Security Research Team firmy Fortinet.

• iTunes

  Identyfikator CVE: CVE-2009-0143

  Dostępne dla: Mac OS X 10.4.10 lub nowszy, Mac OS X Server 10.4.10 lub nowszy, Windows XP lub Windows Vista

  Zagrożenie: zasubskrybowanie podcastu o złośliwym działaniu może doprowadzić do ujawnienia nazwy użytkownika i hasła używanych w programie iTunes.

  Opis: funkcja podcastów w programie iTunes zawiera błąd projektowy. Zasubskrybowanie podcastu o złośliwym działaniu może spowodować wyświetlenie okna dialogowego uwierzytelniania. To okno może skłonić użytkownika do wysłania danych logowania używanych w programie iTunes do serwera podcastu. To uaktualnienie rozwiązuje ten problem, powodując wyświetlanie w oknie dialogowym jednoznacznych informacji dotyczących pochodzenia żądania uwierzytelniania. Problem zgłosił Simon Bellwood.