Сведения о проблемах системы безопасности, устраняемых обновлением iTunes 8.1
В этом документе описаны проблемы безопасности, устраняемые обновлением iTunes 8.1.
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.
Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.
Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.
Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.
iTunes 8,1
iTunes
CVE-ID: CVE-2009-0016
Целевые продукты: Windows XP или Vista
Воздействие. Отправка злонамеренно созданного сообщения DAAP может привести к отказу в обслуживании.
Описание. При обработке сообщений iTunes Digital Audio Access Protocol (DAAP) возникает бесконечный цикл. Отправка сообщения, содержащего злонамеренно созданный параметр Content-Length в заголовке DAAP, может привести к отказу в обслуживании. В данном обновлении эта проблема устраняется за счет выполнения дополнительной проверки сообщений DAAP. Проблема не возникает в Mac OS X. Выражаем благодарность Xiaopeng Zhang, Zhenhua Liu и Junfeng Jia из команды FortiGuard Global Security Research Team компании Fortinet за сообщение об этой проблеме.
iTunes
CVE-ID: CVE-2009-0143
Целевые продукты: Mac OS X 10.4.10 или более поздней версии, Mac OS X Server 10.4.10 или более поздней версии, Windows XP или Vista
Воздействие. Подписка на вредоносный подкаст может привести к раскрытию имени пользователя и пароля iTunes.
Описание. В функции подкастов iTunes возникает проблема, связанная с дизайном. Подписка на вредоносный подкаст может привести к появлению у пользователя диалогового окна аутентификации. Это диалоговое окно может побудить пользователя отправить учетные данные iTunes на сервер подкастов. Данное обновление позволяет решить эту проблему путем уточнения происхождения запроса на аутентификацию в диалоговом окне. Выражаем благодарность Simon Bellwood за сообщение об этой проблеме.
Важно. Информация об изделиях сторонних производителей предоставляется исключительно в ознакомительных целях и не носит рекомендательного характера. Свяжитесь с продавцом для получения дополнительной информации.