Сведения о проблемах системы безопасности, устраняемых обновлением iTunes 11.0.3

Узнайте о проблемах системы безопасности, устраняемых обновлением iTunes 11.0.3.

В этом документе содержатся сведения о проблемах, устраняемых обновлением iTunes 11.0.3, которое доступно для загрузки и установки с помощью функции Обновление ПО или раздела Загрузки Apple.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах системы безопасности, не подтверждает их и не участвует в их обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье «Использование PGP-ключа безопасности продуктов Apple».

Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

iTunes 11.0.3

• iTunes

  Целевые продукты: Mac OS X 10.6.8 или более поздних версий, Windows 7, Vista, XP SP2 или более поздних версий

  Воздействие. Злоумышленник с преимущественным положением в сети может манипулировать сертификатами серверов HTTPS, что приводит к раскрытию конфиденциальной информации.

  Описание. В iTunes существовала проблема с проверкой сертификатов. В определенных условиях активный сетевой злоумышленник мог предъявить iTunes недоверенные сертификаты, которые принимались без предупреждения. Эта проблема устранена благодаря улучшению проверки сертификатов.

  Идентификатор CVE

  CVE-2013-1014: пользователь Christopher из ThinkSECURE Pte Ltd, Кристофер Хикштейн (Christopher Hickstein) из Университета Миннесоты

• iTunes

  Целевые продукты: Windows 7, Vista, XP SP2 или более поздних версий

  Воздействие. Атака посредника при просмотре iTunes Store через iTunes может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  Описание. В WebKit существовало несколько проблем с повреждением данных в памяти. Эти проблемы устранены благодаря улучшенной обработке обращений к памяти.

  Идентификатор CVE

  CVE-2012-2824: пользователь miaubiz

  CVE-2012-2857: Артур Геркис (Arthur Gerkis)

  CVE-2012-3748: Йост Пол (Joost Pol) и Даан Кеупер (Daan Keuper) из Certified Secure, сотрудничающие с HP TippingPoint в рамках программы Zero Day Initiative

  CVE-2012-5112: пользователь Pinkie Pie, участвующий в соревновании Pwnium 2 от Google

  CVE-2013-0879: Атте Кеттунен (Atte Kettunen) из OUSPG

  CVE-2013-0912: пользователи Nils и Jon из MWR Labs, сотрудничающие с HP TippingPoint в рамках программы Zero Day Initiative

  CVE-2013-0948: Абхишек Арья (Abhishek Arya, Inferno) из подразделения Google Chrome Security Team

  CVE-2013-0949: Абхишек Арья (Abhishek Arya, Inferno) из подразделения Google Chrome Security Team

  CVE-2013-0950: Абхишек Арья (Abhishek Arya, Inferno) из подразделения Google Chrome Security Team

  CVE-2013-0951: Apple

  CVE-2013-0952: Абхишек Арья (Abhishek Arya, Inferno) из подразделения Google Chrome Security Team

  CVE-2013-0953: Абхишек Арья (Abhishek Arya, Inferno) из подразделения Google Chrome Security Team

  CVE-2013-0954: Доминик Куни (Dominic Cooney) из Google и Мартин Барбелла (Martin Barbella) из подразделения Google Chrome Security Team

  CVE-2013-0955: Apple

  CVE-2013-0956: подразделение Apple, ответственное за безопасность продуктов

  CVE-2013-0958: Абхишек Арья (Abhishek Arya, Inferno) из подразделения Google Chrome Security Team

  CVE-2013-0959: Абхишек Арья (Abhishek Arya, Inferno) из подразделения Google Chrome Security Team

  CVE-2013-0960: Apple

  CVE-2013-0961: пользователь wushi of team509, работающий в рамках программы iDefense VCP

  CVE-2013-0991: Джей Чивелли (Jay Civelli) из сообщества разработчиков Chromium

  CVE-2013-0992: Google Chrome Security Team (Мартин Барбелла (Martin Barbella))

  CVE-2013-0993: Google Chrome Security Team (пользователь Inferno)

  CVE-2013-0994: Дэвид Герман (David German) из Google

  CVE-2013-0995: Google Chrome Security Team (пользователь Inferno)

  CVE-2013-0996: Google Chrome Security Team (пользователь Inferno)

  CVE-2013-0997: Виталий Торопов, сотрудничающий с HP TippingPoint в рамках программы Zero Day Initiative

  CVE-2013-0998: пользователь pa_kt, сотрудничающий с HP TippingPoint в рамках программы Zero Day Initiative

  CVE-2013-0999: пользователь pa_kt, сотрудничающий с HP TippingPoint в рамках программы Zero Day Initiative

  CVE-2013-1000: Фермин Дж. Серна (Fermin J. Serna) из подразделения Google Security Team

  CVE-2013-1001: Райан Хьюменик (Ryan Humenick)

  CVE-2013-1002: Сергей Глазунов

  CVE-2013-1003: Google Chrome Security Team (пользователь Inferno)

  CVE-2013-1004: Google Chrome Security Team (Мартин Барбелла (Martin Barbella))

  CVE-2013-1005: Google Chrome Security Team (Мартин Барбелла (Martin Barbella))

  CVE-2013-1006: Google Chrome Security Team (Мартин Барбелла (Martin Barbella))

  CVE-2013-1007: Google Chrome Security Team (пользователь Inferno)

  CVE-2013-1008: Сергей Глазунов

  CVE-2013-1010: пользователь miaubiz

  CVE-2013-1011: Google Chrome Security Team (пользователь Inferno)