Según informa Apple en su lista de correo, hay disponible una nueva versión de iTunes (10.2.2) a través del menú «Actualización de software» que solventa posible un ataque «man-in-the-middle» mientras se navega por la iTunes Store.
El problema viene dado por múltiples errores de corrupción de memoria en WebKit que pueden llevar cierres inesperados de la aplicación o a la ejecución arbitraria de código. El bug ha sido reportado por Martin Barbella.
Info original de Apple; (ENG).
APPLE-SA-2011-04-18-1 iTunes 10.2.2
iTunes 10.2.2 is now available and addresses the following:
WebKit
Available for: Windows 7, Vista, XP SP2 or later
Impact: A man-in-the-middle attack may lead to an unexpected
application termination or arbitrary code execution
Description: Multiple memory corruption issues exist in WebKit. A
man-in-the-middle attack while browsing the iTunes Store via iTunes
may lead to an unexpected application termination or arbitrary code
execution.
CVE-ID
CVE-2011-1290 : Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp
Weinmann, and an anonymous researcher working with TippingPoint’s
Zero Day Initiative
CVE-2011-1344 : Vupen Security working with TippingPoint’s Zero Day
Initiative, and Martin Barbella