Se
ha publicado la nueva versión de iTunes 11.1.4 que corrige un total de 25
vulnerabilidades; solo una de ellas afecta a los clientes para Mac y Windows,
mientras que las demás afectan exclusivamente a las versiones para Windows.
El primero de los problemas
corregidos, con CVE-2014-1242, que afecta a las versiones de iTunes para Mac OS
y Windows podría permitir la realización de ataques de hombre en el medio; debido
a que los contenidos de las ventanas de los tutoriales de iTunes se recibían mediante
una conexión http.
Las otras 24 vulnerabilidades
afectan solo a Windows. Una de ellas, con CVE-2013-1024, podría permitir la
ejecución de código de forma remota al visualizar una película específicamente
manipulada. Otras 16 vulnerabilidades se refieren a problemas de manejo de
memoria en WebKit, que podrían permitir la denegación de servicio o ejecución de
código al consultar iTunes Store a través de iTunes.
Las restantes siete
vulnerabilidades, se refieren al uso de versiones antiguas de las librerías libxml
y libxslt. Seis de los problemas en estas librerías fueron reportados en 2012 y
uno data de 2011. Apple ha actualizado las librerías a libxml 2.9.0 (ya
anticuada, con fecha de 11 de septiembre de 2012) y libxslt 1.1.28.
Más información:
About the security content of iTunes 11.1.4
libxml Releases
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario