Giới thiệu về nội dung bảo mật của iTunes 10.5.1

Tài liệu này mô tả nội dung bảo mật của iTunes 10.5.1.

Nhằm bảo vệ khách hàng, Apple không tiết lộ, thảo luận hay xác nhận các vấn đề về bảo mật chừng nào chưa điều tra triệt để cũng như chưa có các bản vá hoặc bản phát hành cần thiết. Để tìm hiểu thêm về việc Bảo mật sản phẩm Apple, hãy truy cập trang web Bảo mật sản phẩm Apple.

Để tìm hiểu thông tin về Khóa PGP Bảo mật sản phẩm Apple, hãy xem bài viết "Cách sử dụng Khóa PGP Bảo mật sản phẩm Apple".

Nếu có thể, hãy tham chiếu các lỗ hổng bảo mật theo Mã số định danh lỗ hổng bảo mật (Common Vulnerabilities and Exposures ID, CVE-ID) để biết thêm thông tin.

Để tìm hiểu về các Bản cập nhật bảo mật khác, hãy xem bài viết "Bản cập nhật bảo mật của Apple".

iTunes 10.5.1

iTunes

Phạm vi áp dụng: Mac OS X v10.5 trở lên, Windows 7, Vista, XP SP2 trở lên

Tác động: Một kẻ tấn công xen giữa có thể cung cấp phần mềm có vẻ là có nguồn gốc từ Apple

Mô tả: iTunes định kỳ kiểm tra các bản cập nhật phần mềm bằng cách sử dụng yêu cầu HTTP cho Apple. Yêu cầu này có thể khiến iTunes thông báo rằng đã có bản cập nhật. Nếu Apple Software Update cho Windows chưa được cài đặt, hành động bấm vào nút Nội dung tải về của iTunes có thể mở URL từ phản hồi HTTP trong trình duyệt mặc định của người dùng. Sự cố này đã được giảm bớt bằng cách sử dụng kết nối bảo mật khi kiểm tra các bản cập nhật hiện có. Đối với các hệ thống OS X, trình duyệt mặc định của người dùng không được sử dụng vì Apple Software Update đã tích hợp sẵn trong OS X, tuy nhiên thay đổi này sẽ bổ sung thêm khả năng bảo vệ chuyên sâu.

CVE-ID

CVE-2008-3434: Francisco Amato tại Infobyte Security Research