เกี่ยวกับเนื้อหาความปลอดภัยของ iTunes 11.1.4

เอกสารนี้จะอธิบายเนื้อหาความปลอดภัยของ iTunes 11.1.4

เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเกี่ยวกับ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู "วิธีใช้ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงเกี่ยวกับข้อมูลเพิ่มเติมเรื่องช่องโหว่ต่างๆ

เพื่อเรียนรู้เกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ โปรดดู การอัปเดตความปลอดภัยของ Apple

iTunes 11.1.4

• iTunes

  พร้อมให้ใช้งานกับ: Mac OS X v10.6.8 หรือใหม่กว่า, Windows 8, Windows 7, Vista, และ XP SP2 หรือใหม่กว่า

  ผลกระทบ: ภัยคุกคามที่มีตำแหน่งเครือข่ายสิทธิพิเศษอาจควบคุมเนื้อหาของหน้าต่างคู่มือสอน iTunes

  คำอธิบาย: เนื้อหาของหน้าต่างคู่มือสอน iTunes ถูกกู้คืนจากเครือข่ายที่ใช้การเชื่อมต่อ HTTP ที่ไม่มีการป้องกัน ภัยคุกคามที่มีตำแหน่งเครือข่ายที่มีสิทธิพิเศษอาจแทรกเนื้อหาโดยอำเภอใจ ปัญหานี้แก้ไขได้ด้วยการใช้การเชื่อมต่อ HTTPS ที่เข้ารหัสเพื่อกู้คืนคู่มือสอน

  CVE-ID

  CVE-2014-1242 : Apple

• iTunes

  พร้อมให้ใช้งานกับ: Windows 8, Windows 7, Vista และ XP SP2 หรือใหม่กว่า

  ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

  คำอธิบาย: ปัญหาการเข้าถึงหน่วยความจำที่ยังไม่ได้กำหนดค่ามีอยู่ในการจัดการแทร็คข้อความ ปัญหานี้แก้ไขได้ด้วยการตรวจสอบแทร็คข้อความเพิ่มเติม

  CVE-ID

  CVE-2013-1024 : Richard Kuo และ Billy Suguitan แห่ง Triemt Corporation

• iTunes

  พร้อมให้ใช้งานกับ: Windows 8, Windows 7, Vista และ XP SP2 หรือใหม่กว่า

  ผลกระทบ: ภัยคุกคาม Man-in-the-middle ในขณะเรียกดู iTunes Store ผ่าน iTunes อาจทำให้แอปพลิเคชั่นหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสตามอำเภอใจ

  คำอธิบาย: มีปัญหาหน่วยความจำล่มหลายจุดใน WebKit ปัญหาเหล่านี้จะถูกแก้ไขผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

  CVE-ID

  CVE-2013-1037 : ทีมรักษาความปลอดภัยของ Google Chrome

  CVE-2013-1038 : ทีมรักษาความปลอดภัยของ Google Chrome

  CVE-2013-1039 : own-hero Research ที่ทำงานร่วมกับ iDefense VCP

  CVE-2013-1040 : ทีมรักษาความปลอดภัยของ Google Chrome

  CVE-2013-1041 : ทีมรักษาความปลอดภัยของ Google Chrome

  CVE-2013-1042 : ทีมรักษาความปลอดภัยของ Google Chrome

  CVE-2013-1043 : ทีมรักษาความปลอดภัยของ Google Chrome

  CVE-2013-1044 : Apple

  CVE-2013-1045 : ทีมรักษาความปลอดภัยของ Google Chrome

  CVE-2013-1046 : ทีมรักษาความปลอดภัยของ Google Chrome

  CVE-2013-1047 : miaubiz

  CVE-2013-2842 : Cyril Cattiaux

  CVE-2013-5125 : ทีมรักษาความปลอดภัยของ Google Chrome

  CVE-2013-5126 : Apple

  CVE-2013-5127 : ทีมรักษาความปลอดภัยของ Google Chrome

  CVE-2013-5128 : Apple

• libxml

  พร้อมให้ใช้งานกับ: Windows 8, Windows 7, Vista และ XP SP2 หรือใหม่กว่า

  ผลกระทบ: ภัยคุกคาม Man-in-the-middle ในขณะเรียกดู iTunes Store ผ่าน iTunes อาจทำให้แอปพลิเคชั่นหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสตามอำเภอใจ

  คำอธิบาย: มีปัญหาการล่มของหน่วยความจำหลายจุดใน libxml ปัญหาเหล่านี้แก้ไขได้ด้วยการอัปเดต libxml ให้เป็นเวอร์ชั่น 2.9.0

  CVE-ID

  CVE-2011-3102 : Jüri Aedla

  CVE-2012-0841

  CVE-2012-2807 : Jüri Aedla

  CVE-2012-5134 : ของทีมรักษาความปลอดภัยของ Google Chrome (Jüri Aedla)

• libxslt

  พร้อมให้ใช้งานกับ: Windows 8, Windows 7, Vista และ XP SP2 หรือใหม่กว่า

  ผลกระทบ: ภัยคุกคาม Man-in-the-middle ในขณะเรียกดู iTunes Store ผ่าน iTunes อาจทำให้แอปพลิเคชั่นหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสตามอำเภอใจ

  คำอธิบาย: มีปัญหาการล่มของหน่วยความจำหลายจุดใน libxslt ปัญหาเหล่านี้สามารถแก้ได้ด้วยการอัปเดต libxslt ให้เป็นเวอร์ชั่น 1.1.28

  CVE-ID

  CVE-2012-2825 : Nicolas Gregoire

  CVE-2012-2870 : Nicolas Gregoire

  CVE-2012-2871 : Kai Lu แห่ง Fortinet's FortiGuard Labs, Nicolas Gregoire