Проблемы безопасности, устраняемые обновлением iTunes 11.0.3

Узнайте о проблемах безопасности, устраненных в iTunes 11.0.3.

В настоящем документе описываются проблемы безопасности, устраненные в программе iTunes 11.0.3, которую можно загрузить и установить с помощью функции Обновление ПО или со страницы загрузок Apple.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Как использовать PGP-ключ защиты продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

iTunes 11.0.3

  • iTunes

    Доступно для ОС Mac OS X 10.6.8 и более поздних версий, Windows 7, Windows Vista, Windows XP с пакетом обновления 2 (SP2) и более поздних версий.

    Воздействие. Злоумышленник с преимущественным положением в сети может управлять сертификатами HTTPS, что может повлечь раскрытие конфиденциальной информации.

    Описание. В iTunes существовала проблема проверки сертификатов. В определенных обстоятельствах злоумышленник в активной сети мог представить iTunes недоверенные сертификаты, и они могли быть приняты без предупреждения. Эта проблема была устранена за счет улучшения проверки сертификатов.

    Идентификатор CVE

    CVE-2013-1014: Кристофер (Christopher) из ThinkSECURE Pte Ltd, Кристофер Хикстейн (Christopher Hickstein) из Миннесотского университета

  • iTunes

    Доступно для ОС Windows 7, Windows Vista и Windows XP с пакетом обновления 2 (SP2) и более поздних версий.

    Воздействие. Атака «человек посередине», осуществляемая во время просмотра магазина iTunes Store в программе iTunes, может приводить к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. В библиотеке WebKit возникало несколько ошибок, приводящих к повреждению памяти. Проблемы устранены путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2012-2824: пользователь miaubiz

    CVE-2012-2857: Артур Джеркис (Arthur Gerkis)

    CVE-2012-3748: Йоуст Пол (Joost Pol) и Даан Кейпер (Daan Keuper) из Certified Secure в рамках программы Zero Day Initiative, проводимой HP TippingPoint

    CVE-2012-5112: пользователь Pinkie Pie, участвующий в конкурсе Pwnium 2 от Google

    CVE-2013-0879: Атте Кеттунен (Atte Kettunen) из OUSPG

    CVE-2013-0912: Нильс (Nils) и Джон (Jon) из MWR Labs в рамках программы Zero Day Initiative, проводимой HP TippingPoint

    CVE-2013-0948: Абишек Арья (Abhishek Arya) (Inferno), подразделение Google Chrome Security Team

    CVE-2013-0949: Абишек Арья (Abhishek Arya) (Inferno), подразделение Google Chrome Security Team

    CVE-2013-0950: Абишек Арья (Abhishek Arya) (Inferno), подразделение Google Chrome Security Team

    CVE-2013-0951: Apple

    CVE-2013-0952: Абишек Арья (Abhishek Arya) (Inferno), подразделение Google Chrome Security Team

    CVE-2013-0953: Абишек Арья (Abhishek Arya) (Inferno), подразделение Google Chrome Security Team

    CVE-2013-0954: Доминик Куни (Dominic Cooney) из компании Google и Мартин Барбелла (Martin Barbella) из подразделения Google Chrome Security Team

    CVE-2013-0955: Apple

    CVE-2013-0956: Apple Product Security

    CVE-2013-0958: Абишек Арья (Abhishek Arya) (Inferno), подразделение Google Chrome Security Team

    CVE-2013-0959: Абишек Арья (Abhishek Arya) (Inferno), подразделение Google Chrome Security Team

    CVE-2013-0960: Apple

    CVE-2013-0961: wushi из team509, сотрудничающий с iDefense VCP

    CVE-2013-0991: Джэй Сивелли (Jay Civelli) из сообщества разработки Chromium

    CVE-2013-0992: подразделение Google Chrome Security Team, Мартин Барбелла (Martin Barbella)

    CVE-2013-0993: подразделение Google Chrome Security Team (Inferno)

    CVE-2013-0994: Дэвид Джермэн (David German) из компании Google

    CVE-2013-0995: подразделение Google Chrome Security Team (Inferno)

    CVE-2013-0996: подразделение Google Chrome Security Team (Inferno)

    CVE-2013-0997: Виталий Торопов (Vitaliy Toropov) в рамках программы Zero Day Initiative, проводимой HP TippingPoint

    CVE-2013-0998: пользователь pa_kt в рамках программы Zero Day Initiative, проводимой HP TippingPoint

    CVE-2013-0999: пользователь pa_kt в рамках программы Zero Day Initiative, проводимой HP TippingPoint

    CVE-2013-1000: Фермин Серна (Fermin J. Serna) из подразделения Google Security Team

    CVE-2013-1001: Райан Хьюменик (Ryan Humenick)

    CVE-2013-1002: Сергей Глазунов (Sergey Glazunov)

    CVE-2013-1003: подразделение Google Chrome Security Team (Inferno)

    CVE-2013-1004: подразделение Google Chrome Security Team, Мартин Барбелла (Martin Barbella)

    CVE-2013-1005: подразделение Google Chrome Security Team, Мартин Барбелла (Martin Barbella)

    CVE-2013-1006: подразделение Google Chrome Security Team, Мартин Барбелла (Martin Barbella)

    CVE-2013-1007: подразделение Google Chrome Security Team (Inferno)

    CVE-2013-1008: Сергей Глазунов (Sergey Glazunov)

    CVE-2013-1010: пользователь miaubiz

    CVE-2013-1011: подразделение Google Chrome Security Team (Inferno)

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: