เกี่ยวกับเนื้อหาความปลอดภัยของ iTunes 11.2

เอกสารนี้จะอธิบายเนื้อหาความปลอดภัยของ iTunes 11.2

สามารถดาวน์โหลดและติดตั้งรายการอัปเดตนี้ได้โดยใช้ รายการอัปเดตซอฟต์แวร์ หรือจากเว็บไซต์บริการช่วยเหลือของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบแบบเต็มรูปแบบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่การรักษาความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์

ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้

หากต้องการเรียนรู้เกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ โปรดดู "รายการอัปเดตความปลอดภัยของ Apple"

iTunes 11.2

• iTunes

  มีให้สำหรับ: Windows 8, Windows 7, Vista และ XP SP3 หรือใหม่กว่า

  ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์สามารถรับข้อมูลประจำตัว iTunes ได้

  คำอธิบาย: ส่วนหัวของ HTTP ที่เป็น Set-Cookie ยังคงได้รับการประมวลผลถึงแม้ว่าการเชื่อมต่อจะปิดลงก่อนที่บรรทัดส่วนหัวจะครบก็ตาม ผู้โจมตีสามารถถอดการตั้งค่าความปลอดภัยออกจากคุกกี้ได้โดยการบังคับให้การเชื่อมต่อปิดลงก่อนที่จะมีการส่งการตั้งค่าความปลอดภัย จากนั้นจึงเรียกดูค่าของคุกกี้ที่ไม่มีการป้องกัน ปัญหานี้ได้รับการแก้ไขแล้วโดยการเพิกเฉยต่อบรรทัดส่วนหัวของ HTTP ที่ไม่ครบถ้วน

  CVE-ID

  CVE-2014-1296

• iTunes

  มีให้สำหรับ: Windows 8, Windows 7, Vista และ XP SP3 หรือใหม่กว่า

  ผลกระทบ: การดูไฟล์เสียงหรือภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการเรียกใช้โค้ดโดยอำเภอใจ

  คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการแยกวิเคราะห์ MP4 ของ iTunes ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบขอบเขตเพิ่มเติม

  CVE-ID

  CVE-2014-8842 : Karl Smith จาก NCC Group