Проблеми системи безпеки, які усунено в iTunes 8.1

У цьому документі описано проблеми системи безпеки, які усунено в оновленні iTunes 8.1.

Щоб захистити клієнтів, Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки повністю не завершено вивчення відповідної проблеми та не опубліковано необхідні виправлення або нові випуски. Щоб дізнатися більше про засоби безпеки продуктів Apple, відвідайте вебсайт, присвячений безпеці продуктів Apple.

Інформацію про використання PGP-ключа безпеки продуктів Apple наведено на сторінці «Як використовувати PGP-ключ безпеки продуктів Apple».

Якщо можливо, для отримання подальшої інформації про вразливості використовуються ідентифікатори CVE.

Про інші оновлення системи безпеки розказано в статті «Випуски безпеки Apple».

iTunes 8.1

  • iTunes

    CVE-ID: CVE-2009-0016

    Цільові продукти: Windows XP або Windows Vista

    Вплив: надсилання шкідливого повідомлення DAAP може призводити до відмови в обслуговуванні.

    Опис: під час обробки повідомлень DAAP в iTunes виникає нескінчений цикл. Надсилання повідомлення зі шкідливим параметром Content-Length у заголовку DAAP може призводити до відмови в обслуговуванні. У цьому оновленні проблему вирішено завдяки виконанню додаткової перевірки повідомлень DAAP. Ця проблема не виникає в Mac OS X. Дякуємо Xiaopeng Zhang, Zhenhua Liu й Junfeng Jia з Fortinet's FortiGuard Global Security Research Team за повідомлення про цю проблему.

  • iTunes

    CVE-ID: CVE-2009-0143

    Цільові продукти: Mac OS X 10.4.10 або новішої версії, Mac OS X Server 10.4.10 або новішої версії, Windows XP або Windows Vista

    Вплив: підписка на шкідливий подкаст може призводити до розкриття імені користувача й пароля в iTunes.

    Опис: у реалізації функції подкастів iTunes є проблема. Після підписки на шкідливий подкаст користувач може побачити діалогове вікно автентифікації. У цьому вікні користувача можуть попросити надіслати свої облікові дані для iTunes на сервер подкастів. У цьому оновленні проблему вирішено. Тепер у діалоговому вікні вказується походження запиту на автентифікацію. Дякуємо Simon Bellwood за повідомлення про цю проблему.

Важливо. Відомості про продукти, які не виготовлено компанією Apple, надаються лише в інформаційних цілях і не є рекомендацією чи заявою про підтримку компанією Apple. Зв’яжіться з постачальником послуг, щоб отримати додаткову інформацію.

Дата опублікування: