Obsah zabezpečenia v aplikácii iTunes 10.5.1
V tomto dokumente sa popisuje obsah zabezpečenia v aplikácii iTunes 10.5.1.
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.
Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku „Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple“.
Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.
Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.
iTunes 10.5.1
iTunes
Dostupné pre: Mac OS X v10.5 alebo novší, Windows 7, Vista, XP SP2 alebo novší
Dopad: Útočník typu man-in-the-middle môže ponúkať softvér zdanlivo pochádzajúci od spoločnosti Apple
Popis: Aplikácia iTunes pravidelne vyhľadáva softvérové aktualizácie prostredníctvom HTTP požiadavky na servery Apple. Na základe tejto požiadavky môže aplikácia iTunes oznámiť, že je dostupná aktualizácia. Ak nie je nainštalovaná aplikácia Apple Software Update pre Windows, po kliknutí na tlačidlo Stiahnite si iTunes sa v predvolenom prehliadači používateľa môže otvoriť URL adresa z HTTP požiadavky. Tento problém bol zmiernený použitím zabezpečeného pripojenia pri vyhľadávaní dostupných aktualizácií. V systémoch OS X sa používateľom predvolený prehliadač nepoužíva, lebo aplikácia Apple Software Update je súčasťou systému OS X, táto zmena však napriek tomu prináša ďalšiu vrstvu hĺbkovej ochrany.
CVE-ID
CVE-2008-3434: Francisco Amato zo spoločnosti Infobyte Security Research