Obsah zabezpečenia v iTunes 7.4
V tomto dokumente sa opisuje obsah zabezpečenia v apke iTunes 7.4, ktorú je možné stiahnuť a nainštalovať prostredníctvom nastavení Aktualizácie softvéru alebo zo súborov Apple na stiahnutie.
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.
Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.
Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.
Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.
iTunes 7.4
iTunes
CVE-ID: CVE-2007-3752
K dispozícii pre: Mac OS X 10.3.9, Mac OS X 10.4.7 alebo novší, Windows XP/Vista
Dopad: Otvorenie súboru PDF so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu.
Popis: Pri spracovávaní obalov albumov v iTunes dochádza k pretečeniu medzipamäte. Nalákaním používateľa na otvorenie hudobného súboru so škodlivým kódom môže útočník spustiť pretečenie, ktoré môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši problém vykonávaním správnej kontroly rozsahu. Poďakovanie si za nahlásenie tohto problému zaslúži David Thiel zo spoločnosti iSEC Partners.