เกี่ยวกับเนื้อหาด้านความปลอดภัยของ iTunes 12.9.1

เอกสารนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ iTunes 12.9.1

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบแบบเต็มรูปแบบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่การรักษาความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์

ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้

หากต้องการเรียนรู้เกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ โปรดดู "รายการอัปเดตความปลอดภัยของ Apple"

iTunes 10.5.1

iTunes

มีให้สำหรับ: Mac OS X v10.5 หรือใหม่กว่า, Windows 7, Vista, XP SP2 หรือใหม่กว่า

ผลกระทบ: ผู้โจมตีในลักษณะของคนกลางอาจเสนอซอฟต์แวร์ที่ดูเหมือนมาจาก Apple

คำอธิบาย: iTunes ตรวจหารายการอัปเดตซอฟต์แวร์อยู่เป็นระยะๆ โดยส่งคำขอ HTTP ไปยัง Apple และคำขอนี้อาจทำให้ iTunes แจ้งว่ามีรายการอัปเดตที่พร้อมใช้งาน หากไม่ได้มีการติดตั้ง Apple Software Update สำหรับ Windows ไว้ การคลิกปุ่มดาวน์โหลด iTunes อาจเป็นการเปิด URL จากที่ HTTP ตอบกลับมาในเบราว์เซอร์เริ่มต้นของผู้ใช้ ปัญหานี้ได้รับการบรรเทาโดยใช้การเชื่อมต่อที่มีความปลอดภัยเมื่อตรวจหารายการอัปเดต และสำหรับระบบ OS X จะไม่มีการใช้เบราว์เซอร์เริ่มต้นของผู้ใช้เนื่องจาก OS X มาพร้อมกับ Apple Software Update อยู่แล้ว แต่การเปลี่ยนแปลงนี้จะช่วยเพิ่มแนวป้องกันอีกชั้น

CVE-ID

CVE-2008-3434 : Francisco Amato จาก Infobyte Security Research