Giới thiệu về nội dung bảo mật của iTunes 8.1
Tài liệu này mô tả nội dung bảo mật của iTunes 8.1.
Nhằm bảo vệ khách hàng, Apple không tiết lộ, thảo luận hay xác nhận các vấn đề về bảo mật chừng nào chưa điều tra triệt để cũng như chưa có các bản vá hoặc bản phát hành cần thiết. Để tìm hiểu thêm về việc Bảo mật sản phẩm Apple, hãy truy cập trang web Bảo mật sản phẩm Apple.
Để tìm hiểu thông tin về Khóa PGP Bảo mật sản phẩm Apple, hãy xem bài viết "Cách sử dụng Khóa PGP Bảo mật sản phẩm Apple".
Nếu có thể, hãy tham chiếu các lỗ hổng bảo mật theo Mã số định danh lỗ hổng bảo mật (Common Vulnerabilities and Exposures ID, CVE-ID) để biết thêm thông tin.
Để tìm hiểu về các Bản cập nhật bảo mật khác, hãy xem bài viết "Bản cập nhật bảo mật của Apple".
iTunes 8.1
iTunes
CVE-ID: CVE-2009-0016
Phạm vi áp dụng: Windows XP hoặc Vista
Tác động: Hành động gửi tin nhắn được tạo với dụng ý xấu qua Giao thức truy cập âm thanh kỹ thuật số (Digital Audio Access Protocol, DAAP) có thể dẫn đến việc từ chối dịch vụ
Mô tả: Vòng lặp vô hạn tồn tại trong quá trình xử lý tin nhắn được gửi qua DAAP của iTunes. Hành động gửi tin nhắn chứa tham số Content-Length được tạo với dụng ý xấu trong tiêu đề DAAP có thể dẫn đến việc từ chối dịch vụ. Bản cập nhật này giải quyết vấn đề bằng cách tiến hành xác thực bổ sung đối với tin nhắn gửi qua DAAP. Sự cố này không ảnh hưởng đến các hệ thống Mac OS X. Cảm ơn Xiaopeng Zhang, Zhenhua Liu và Junfeng Jia thuộc Nhóm nghiên cứu bảo mật toàn cầu FortiGuard của Fortinet đã báo cáo vấn đề này.
iTunes
CVE-ID: CVE-2009-0143
Phạm vi áp dụng: Mac OS X v10.4.10 trở về sau, Mac OS X Server v10.4.10 trở về sau, Windows XP hoặc Vista
Tác động: Hành động đăng ký podcast độc hại có thể khiến tên người dùng và mật khẩu iTunes bị lộ
Mô tả: Vấn đề về thiết kế tồn tại trong tính năng podcast của iTunes. Việc đăng ký podcast độc hại có thể khiến hộp thoại xác thực hiển thị với người dùng. Hộp thoại này có thể lôi kéo người dùng gửi thông tin đăng nhập iTunes cho máy chủ podcast. Bản cập nhật này giải quyết vấn đề bằng cách làm rõ nguồn gốc của yêu cầu xác thực trong hộp thoại. Cảm ơn Simon Bellwood đã báo cáo vấn đề này.
Lưu ý quan trọng: Thông tin về các sản phẩm không do Apple sản xuất chỉ được cung cấp cho mục đích tham khảo và không tạo thành sự xác nhận hay đề xuất của Apple. Vui lòng liên hệ với nhà cung cấp để biết thêm thông tin.