關於 iTunes 11.1.4 的安全性內容

本文件說明 iTunes 11.1.4 的安全性內容。

為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要瞭解 Apple 產品安全性的更多相關資訊,請參閱 Apple 產品安全性網站。

如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。

如有可能,CVE ID 會用來參照安全關漏洞的進一步資訊。

若要瞭解其他安全性更新,請參閱「Apple 安全性更新」。

iTunes 11.1.4

  • iTunes

    適用於:Mac OS X v10.6.8 或以上版本、Windows 8、Windows 7、Vista 及 XP SP2 或以上版本

    影響:攻擊者所在的網路位置如果有特殊權限,即可能控制「iTunes 教學指南」視窗

    說明:「iTunes 教學指南」視窗的內容是使用未受保護的 HTTP 連線擷取自網路的。攻擊者所在的網路位置如果有特殊權限,即可能插入任意內容。已使用加密 HTTPS 連線擷取教學課程,解決此問題。

    CVE-ID

    CVE-2014-1242:Apple

  • iTunes

    適用於:Windows 8、Windows 7、Vista 和 XP SP2 或以上版本

    影響:檢視惡意製作的影片檔案,可能導致應用程式意外終止或任意程式碼執行

    說明:處理文字軌時,會發生未初始化記憶體存取問題。軟體更新會對文字軌追加一次驗證程序,這個問題已經解決。

    CVE-ID

    CVE-2013-1024:Triemt Corporation 的 Richard Kuo 和 Billy Suguitan

  • iTunes

    適用於:Windows 8、Windows 7、Vista 和 XP SP2 或以上版本

    影響:透過 iTunes 瀏覽 iTunes Store 的過程中,攔截式攻擊可能導致應用程式意外終止或執行任意程式碼

    說明:WebKit 有多個記憶體損毀問題。改良記憶體處理機制後,已解決這些問題。

    CVE-ID

    CVE-2013-1037:Google Chrome 安全小組

    CVE-2013-1038:Google Chrome 安全小組

    CVE-2013-1039:own-hero Research 與 iDefense VCP 合作

    CVE-2013-1040:Google Chrome 安全小組

    CVE-2013-1041:Google Chrome 安全小組

    CVE-2013-1042:Google Chrome 安全小組

    CVE-2013-1043:Google Chrome 安全小組

    CVE-2013-1044:Apple

    CVE-2013-1045:Google Chrome 安全小組

    CVE-2013-1046:Google Chrome 安全小組

    CVE-2013-1047:miaubiz

    CVE-2013-2842:Cyril Cattiaux

    CVE-2013-5125:Google Chrome 安全小組

    CVE-2013-5126:Apple

    CVE-2013-5127:Google Chrome 安全小組

    CVE-2013-5128:Apple

  • libxml

    適用於:Windows 8、Windows 7、Vista 和 XP SP2 或以上版本

    影響:透過 iTunes 瀏覽 iTunes Store 的過程中,攔截式攻擊可能導致應用程式意外終止或執行任意程式碼

    說明:libxml 存在多重記憶體毀損問題。已藉由將 libxml 更新至 2.9.0 版解決此問題。

    CVE-ID

    CVE-2011-3102:Jüri Aedla

    CVE-2012-0841

    CVE-2012-2807:Jüri Aedla

    CVE-2012-5134:Google Chrome 安全小組(Jüri Aedla)

  • libxslt

    適用於:Windows 8、Windows 7、Vista 和 XP SP2 或以上版本

    影響:透過 iTunes 瀏覽 iTunes Store 的過程中,攔截式攻擊可能導致應用程式意外終止或執行任意程式碼

    說明:在 libxslt 中存在多重記憶體毀損問題。已藉由更新 libxslt 至 1.1.28 版解決這些問題。

    CVE-ID

    CVE-2012-2825:Nicolas Gregoire

    CVE-2012-2870:Nicolas Gregoire

    CVE-2012-2871:Fortinet 旗下 FortiGuard Labs 的 Kai Lu、Nicolas Gregoire

對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於第三方網站或產品的選擇、效能或使用,概不負責。Apple 對於第三方網站的準確性或可靠性不做任何保證。如需其他資訊,請聯絡廠商

發佈日期: