Проблеми системи безпеки, які усунено в оновленні iTunes 10.5.1

У цьому документі описано проблеми системи безпеки, які усунено в оновленні iTunes 10.5.1.

Щоб захистити клієнтів, Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки повністю не завершено вивчення відповідної проблеми та не опубліковано необхідні виправлення або нові випуски. Щоб дізнатися більше про засоби безпеки продуктів Apple, відвідайте вебсайт, присвячений безпеці продуктів Apple.

Інформацію про використання PGP-ключа безпеки продуктів Apple наведено на сторінці «Як використовувати PGP-ключ безпеки продуктів Apple».

Якщо можливо, для отримання подальшої інформації про вразливості використовуються ідентифікатори CVE.

Щоб дізнатися про інші оновлення системи безпеки, перейдіть на сторінку «Випуски безпеки Apple».

iTunes 10.5.1

iTunes

Цільові продукти: Mac OS X 10.5 або пізніших версій, Windows 7, Vista, XP SP2 або пізніших версій

Вплив: зловмисник, що здійснює «атаку посередника», може запропонувати програмне забезпечення, яке видається за програмне забезпечення Apple.

Опис: iTunes періодично перевіряє наявність оновлень програмного забезпечення за допомогою HTTP-запиту до Apple. Цей запит може призвести до появи в iTunes повідомлення про доступність оновлення. Якщо Apple Software Update для Windows не інстальовано, натискання кнопки «Викачати iTunes» може відкрити URL-адресу з HTTP-відповіді в стандартному браузері користувача. Цю проблему усунено завдяки використанню захищеного з’єднання під час перевірки доступних оновлень. Для систем OS X не використовується стандартний браузер користувача, оскільки Apple Software Update є частиною OS X, однак ця зміна додає додатковий глибокий захист.

Ідентифікатор CVE

CVE-2008-3434: Франциско Амато (Francisco Amato) з Infobyte Security Research