Acerca dos conteúdos de segurança do iTunes 10.5.1
Este documento descreve os conteúdos de segurança do iTunes 10.5.1.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.
Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos Apple".
Sempre que possível, são utilizados CVE ID para designar as vulnerabilidades e disponibilizar mais informações.
Para saber mais sobre outras Atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".
iTunes 10.5.1
iTunes
Disponível para: Mac OS X v10.5 ou posterior, Windows 7, Vista, XP SP2 ou posterior
Impacto: um atacante “man-in-the-middle” poderá oferecer software que parece ser originário da Apple
Descrição: o iTunes verifica periodicamente se existem atualizações de software através de um pedido HTTP à Apple. Este pedido poderá fazer com que o iTunes indique que está disponível uma atualização. Se o Apple Software Update para Windows não estiver instalado, clicar no botão Descarregar o iTunes poderá abrir o URL a partir da resposta HTTP no navegador predefinido do utilizador. Este problema foi mitigado através da utilização de uma ligação protegida quando verificar a existência de atualizações disponíveis. No caso dos sistemas OS X, o navegador predefinido do utilizador não é utilizado porque o Apple Software Update está incluído nos OS X; contudo, esta alteração oferece uma defesa em profundidade adicional.
ID CVE
CVE-2008-3434: Francisco Amato da Infobyte Security Research