Om säkerhetsinnehållet i iTunes 11.2

I det här dokumentet beskrivs säkerhetsinnehållet i iTunes 11.2.

Den här uppdateringen kan hämtas och installeras med inställningarna för Programuppdatering eller från Apple-supportwebbplatsen.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples Product Security.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple".

iTunes 11.2

• iTunes

  Tillgängligt för: Windows 8, Windows 7, Vista och XP SP3 eller senare

  Effekt: En angripare med en privilegierad nätverksposition kan erhålla iTunes-inloggningsuppgifter

  Beskrivning: Set-Cookie HTTP-huvuden bearbetades även om anslutningen avslutades innan huvudraden slutfördes. En angripare kunde rensa säkerhetsinställningarna från cookien genom att tvångsavsluta anslutningen innan säkerhetsinställningarna skickades, och sedan få tag på värdet för den oskyddade cookien. Det här problemet åtgärdades genom att ignorera ofullständiga HTTP-huvudrader.

  CVE-ID

  CVE-2014-1296

• iTunes

  Tillgängligt för: Windows 8, Windows 7, Vista och XP SP3 eller senare

  Effekt: Visning av en skadlig ljud- eller filmfilm kan leda till att program oväntat avslutas eller att opålitlig kod körs

  Beskrivning: Ett minnesfel förekom i MP4-tolkning i iTunes. Problemet åtgärdades med ytterligare kontroll av gränserna.

  CVE-ID

  CVE-2014-8842: Karl Smith på NCC Group