关于 iTunes 10.5.1 的安全性内容

这篇文稿介绍了 iTunes 10.5.1 的安全性内容。

为保护我们的客户，在未进行详尽调查并推出必要的修补程序或发布版本之前，Apple 不会公开、讨论或确认安全性问题。要进一步了解 Apple 产品安全性，请参阅“Apple 产品安全性”网站。

如需了解 Apple 产品安全性 PGP 密钥，请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

在可能的情况下，我们会使用 CVE ID 来引用相应的漏洞以提供更多信息。

要了解其他安全性更新，请参阅“Apple 安全性更新”。

iTunes 10.5.1

iTunes

适用于：Mac OS X v10.5 或更高版本、Windows 7、Windows Vista、Windows XP SP2 或更高版本

影响：“中间人”攻击者可能会提供看似来自 Apple 的软件

描述：iTunes 定期通过向 Apple 发出 HTTP 请求来检查软件更新。这一请求可能会导致 iTunes 指出有可用更新。如果没有安装 Apple Software Update for Windows，则点按“下载 iTunes”按钮可能会在用户的默认浏览器中打开 HTTP 响应中的 URL。已通过在检查可用更新时使用安全的连接缓解这个问题。对于 OS X 系统，不使用用户的默认浏览器，因为随 OS X 提供了 Apple Software Update，但是这一更改会额外增加一层深度防御。

CVE-ID

CVE-2008-3434：Infobyte Security Research 的 Francisco Amato