Apple ha publicado la nueva versión 10.5.1 de iTunes que corrige una vulnerabilidad en el proceso de actualización, la cual era conocida desde el año 2008. La vulnerabilidad estaba en una falta de comprobar el proceso de actualización del producto. Apple soluciono este problema de forma sencilla añadiendo una conexión segura cuando iTunes comprueba la disponibilidad de actualizaciones.

Las versiones de iTunes afectadas son las versiones previas a la 10.5.1 en los sistemas operativos Windows y Mac.

Esta nueva versión de iTunes 10.5.1 está disponible para los sistemas operativos Mac OS X v10.5 o posterior, Windows 7, Vista, XP SP2 o posterior.

El impacto de la vulnerabilidad es que podría permitir un ataque man-in-the-middle (hombre en el medio) el cual podría ofrecer un software que pareciera tener su origen en Apple y resulte ser un malware.

La descripción de la vulnerabilidad es como sigue: iTunes comprueba periódicamente si hay actualizaciones de software mediante una solicitud HTTP de Apple. Esta petición puede provocar que iTunes indique que hay una actualización disponible. Este problema se ha mitigado mediante el uso de una conexión segura (HTTPS) al comprobar las actualizaciones disponibles. Para los sistemas OS X, el navegador del usuario por defecto no se usa porque Apple Software Update se incluye con OS X, sin embargo, este cambio agrega una defensa adicional en profundidad.

Si Apple Software Update no está instalado en Windows haga clic en el botón Descargar iTunes puede abrir la URL de la respuesta HTTP en el explorador predeterminado del usuario.

Se recomienda a los usuarios de este software, dado el impacto que la vulnerabilidad podría tener en sus sistemas operativos de actualizarse a la mayor brevedad posible a la versión 10.5.1 de iTunes.

La identificación  CVE  (Common Vulnerabilities and Exposures) para la vulnerabilidad  es CVE-2008-3434 la cual fue  descubierta por el investigador Francisco Amato de Infobyte en el año 2008.

Enlace de descarga de iTunes

Fuente: support.apple.com

Anuncios