Obsah zabezpečenia v iTunes 7.4

V tomto dokumente sa opisuje obsah zabezpečenia v apke iTunes 7.4, ktorú je možné stiahnuť a nainštalovať prostredníctvom nastavení Aktualizácie softvéru alebo zo súborov Apple na stiahnutie.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

iTunes 7.4

iTunes

CVE-ID: CVE-2007-3752

K dispozícii pre: Mac OS X 10.3.9, Mac OS X 10.4.7 alebo novší, Windows XP/Vista

Dopad: Otvorenie súboru PDF so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu.

Popis: Pri spracovávaní obalov albumov v iTunes dochádza k pretečeniu medzipamäte. Nalákaním používateľa na otvorenie hudobného súboru so škodlivým kódom môže útočník spustiť pretečenie, ktoré môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši problém vykonávaním správnej kontroly rozsahu. Poďakovanie si za nahlásenie tohto problému zaslúži David Thiel zo spoločnosti iSEC Partners.