发布日期：2009-03-11
更新日期：2009-03-13

受影响系统：

Apple iTunes 8.0

不受影响系统：

Apple iTunes 8.1

描述：

---

BUGTRAQ  ID: 34094
CVE(CAN) ID: CVE-2009-0016,CVE-2009-0143

Apple iTunes是一款媒体播放程序。

iTunes在处理数字音频访问协议（DAAP）消息时存在死循环，如果远程攻击者在发送的消息的DAAP头中包含了特制的Content-Length参数的话就会导致播放器崩溃。

iTunes的podcast功能中存在设计错误，订阅到恶意的podcast可能会向用户显示认证对话框，该对话框可诱骗用户向podcast服务器发送iTunes凭据。

<*来源：Xiaopeng Zhang
  
  链接：http://secunia.com/advisories/34254/
        http://support.apple.com/kb/HT3487
*>

建议：

---

厂商补丁：

Apple
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.apple.com

浏览次数：2415
严重程度：0（网友投票）