เกี่ยวกับเนื้อหาด้านความปลอดภัยของ iTunes 8.1

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ iTunes 8.1

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบแบบเต็มรูปแบบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่การรักษาความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์

ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้

ดูเกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ ได้ที่ "รายการอัปเดตความปลอดภัยของ Apple"

iTunes 8.1

• iTunes

  CVE-ID: CVE-2009-0016

  มีให้สําหรับ: Windows XP หรือ Vista

  ผลกระทบ: การส่งข้อความ DAAP ที่ออกแบบมาเพื่อประสงค์ร้ายอาจนําไปสู่การปฏิเสธการให้บริการ

  คําอธิบาย: มีการทำงานแบบวนลูปไปเรื่อยๆ ในการจัดการข้อความ iTunes Digital Audio Access Protocol (DAAP) การส่งข้อความที่มีพารามิเตอร์ Content-Length ที่ออกแบบมาเพื่อประสงค์ร้ายในส่วนหัว DAAP อาจนําไปสู่การปฏิเสธการให้บริการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการดำเนินการตรวจสอบข้อความ DAAP เพิ่มเติม แต่ปัญหานี้ไม่ส่งผลกระทบต่อระบบ Mac OS X ขอขอบคุณ Xiaopeng Zhang, Zhenhua Liu และ Junfeng Jia จาก FortiGuard Global Security Research Team ของ Fortinet ที่รายงานปัญหานี้

• iTunes

  CVE-ID: CVE-2009-0143

  มีให้สําหรับ: Mac OS X v10.4.10 หรือใหม่กว่า, Mac OS X Server v10.4.10 หรือใหม่กว่า, Windows XP หรือ Vista

  ผลกระทบ: การสมัครรับพ็อดคาสท์ที่เป็นอันตรายอาจนําไปสู่การเปิดเผยชื่อผู้ใช้และรหัสผ่าน iTunes

  คําอธิบาย: พบปัญหาการออกแบบในคุณสมบัติพ็อดคาสท์ของ iTunes การสมัครรับพ็อดคาสท์ที่เป็นอันตรายอาจทําให้กล่องโต้ตอบการตรวจสอบสิทธิ์ถูกนําเสนอต่อผู้ใช้ กล่องโต้ตอบนี้อาจดึงดูดผู้ใช้ให้ส่งข้อมูลประจําตัวของ iTunes ไปยังเซิร์ฟเวอร์พ็อดคาสท์ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการชี้แจงที่มาของคําขอรับรองความถูกต้องในกล่องโต้ตอบ ขอขอบคุณ Simon Bellwood ที่รายงานปัญหานี้