Informationen zum Sicherheitsinhalt von iTunes 10.2

In diesem Dokument wird der Sicherheitsinhalt von iTunes 10.2 beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter „Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit“.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates findest du unter „Apple-Sicherheitsupdates“.

iTunes 10.2

• ImageIO

  Verfügbar für: Windows 7, Vista, XP SP2 oder neuer

  Auswirkung: Mehrere Schwachstellen in libpng

  Beschreibung: libpng wird auf Version 1.4.3 aktualisiert, um mehrere Schwachstellen zu beheben, von denen die schwerwiegendste zur Ausführung von beliebigem Code führen kann. Für Mac OS X 10.5-Systeme wird dieses Problem im Sicherheitsupdate 2010-007 behoben. Weitere Informationen findest du auf der libpng-Website unter http://www.libpng.org/pub/png/libpng.html

  CVE-ID

  CVE-2010-1205

  CVE-2010-2249

• ImageIO

  Verfügbar für: Windows 7, Vista, XP SP2 oder neuer

  Auswirkung: Das Öffnen eines in böswilliger Absicht erstellten JPEG-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

  Beschreibung: Bei der Verarbeitung von JPEG-Bildern durch ImageIO konnte es zu einem Heap-Pufferüberlauf kommen. Das Öffnen eines in böswilliger Absicht erstellten JPEG-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

  CVE-ID

  CVE-2011-0170: Andrzej Dyjak in Zusammenarbeit mit iDefense VCP

• ImageIO

  Verfügbar für: Windows 7, Vista, XP SP2 oder neuer

  Auswirkung: Das Öffnen eines in böswilliger Absicht erstellten XBM-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

  Beschreibung: Es gab ein Integer-Überlauf-Problem bei der Behandlung von XBM-Bildern durch ImageIO. Das Öffnen eines in böswilliger Absicht erstellten XBM-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

  CVE-ID

  CVE-2011-0181: Harry Sintonen

• ImageIO

  Verfügbar für: Windows 7, Vista, XP SP2 oder neuer

  Auswirkung: Das Öffnen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

  Beschreibung: Bei der Verarbeitung von JPEG-codierten TIFF-Bildern durch libTIFF gab es einen Pufferüberlauf. Das Öffnen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

  CVE-ID

  CVE-2011-0191: Apple

• ImageIO

  Verfügbar für: Windows 7, Vista, XP SP2 oder neuer

  Auswirkung: Das Öffnen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

  Beschreibung: Bei der Verarbeitung von CCITT Group 4-codierten TIFF-Bildern durch libTIFF gab es einen Pufferüberlauf. Das Öffnen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

  CVE-ID

  CVE-2011-0192: Apple

• libxml

  Verfügbar für: Windows 7, Vista, XP SP2 oder neuer

  Auswirkung: Das Verarbeiten einer in böswilliger Absicht erstellten XML-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

  Beschreibung: Bei der Verarbeitung von XPath-Ausdrücken durch libxml kam es zu einem Double-Free-Problem. Das Verarbeiten einer in böswilliger Absicht erstellten XML-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

  CVE-ID

  CVE-2010-4494: Yang Dingning von NCNIPC, Graduate University of Chinese Academy of Sciences

• libxml

  Verfügbar für: Windows 7, Vista, XP SP2 oder neuer

  Auswirkung: Das Verarbeiten einer in böswilliger Absicht erstellten XML-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

  Beschreibung: Bei der Verarbeitung von XPath durch libxml bestand ein Speicherfehler. Das Verarbeiten einer in böswilliger Absicht erstellten XML-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

  CVE-ID

  CVE-2010-4008: Bui Quang Minh von Bkis (www.bkis.com)

• WebKit

  Verfügbar für: Windows 7, Vista, XP SP2 oder neuer

  Auswirkung: Ein Man-in-the-Middle-Angriff kann zu einem unerwarteten Programmabbruch oder der Ausführung willkürlichen Codes führen.

  Beschreibung: In WebKit bestehen mehrere Speicherfehler. Ein Man-in-the-Middle-Angriff beim Stöbern im iTunes Store mit iTunes kann zu einem unerwarteten Programmabbruch oder der Ausführung willkürlichen Codes führen.

  CVE-ID

  CVE-2010-1824: kuzzcc und wushi von team509 in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

  CVE-2011-0111: Sergey Glazunov

  CVE-2011-0112: Yuzo Fujishima von Google Inc.

  CVE-2011-0113: Andreas Kling von Nokia

  CVE-2011-0114: Chris Evans vom Google Chrome-Sicherheitsteam

  CVE-2011-0115: J23 in Zusammenarbeit mit der Zero Day Initiative von TippingPoint und Emil A Eklund von Google, Inc

  CVE-2011-0116: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

  CVE-2011-0117: Abhishek Arya (Inferno) von Google, Inc.

  CVE-2011-0118: Abhishek Arya (Inferno) von Google, Inc.

  CVE-2011-0119: Abhishek Arya (Inferno) von Google, Inc.

  CVE-2011-0120: Abhishek Arya (Inferno) von Google, Inc.

  CVE-2011-0121: Abhishek Arya (Inferno) von Google, Inc.

  CVE-2011-0122: Slawomir Blazek

  CVE-2011-0123: Abhishek Arya (Inferno) von Google, Inc.

  CVE-2011-0124: Yuzo Fujishima von Google, Inc.

  CVE-2011-0125: Abhishek Arya (Inferno) von Google, Inc.

  CVE-2011-0126: Mihai Parparita von Google, Inc.

  CVE-2011-0127: Abhishek Arya (Inferno) von Google, Inc.

  CVE-2011-0128: David Bloom

  CVE-2011-0129: Famlam

  CVE-2011-0130: Apple

  CVE-2011-0131: wushi von team509

  CVE-2011-0132: wushi von team509 in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

  CVE-2011-0133: wushi von team509 in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

  CVE-2011-0134: Jan Tosovsky

  CVE-2011-0135: Ein anonymer Melder

  CVE-2011-0136: Sergey Glazunov

  CVE-2011-0137: Sergey Glazunov

  CVE-2011-0138: kuzzcc

  CVE-2011-0139: kuzzcc

  CVE-2011-0140: Sergey Glazunov

  CVE-2011-0141: Chris Rohlf von Matasano Security

  CVE-2011-0142: Abhishek Arya (Inferno) von Google, Inc.

  CVE-2011-0143: Slawomir Blazek und Sergey Glazunov

  CVE-2011-0144: Emil A Eklund von Google, Inc.

  CVE-2011-0145: Abhishek Arya (Inferno) von Google, Inc.

  CVE-2011-0146: Abhishek Arya (Inferno) von Google, Inc.

  CVE-2011-0147: Dirk Schulze

  CVE-2011-0148: Michal Zalewski von Google, Inc.

  CVE-2011-0149: wushi von team509 in Zusammenarbeit mit der Zero Day Initiative von TippingPoint und SkyLined vom Google Chrome-Sicherheitsteam

  CVE-2011-0150: Michael Gundlach von safariadblock.com

  CVE-2011-0151: Abhishek Arya (Inferno) von Google, Inc.

  CVE-2011-0152: SkyLined vom Google Chrome-Sicherheitsteam

  CVE-2011-0153: Abhishek Arya (Inferno) von Google, Inc.

  CVE-2011-0154: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

  CVE-2011-0155: Aki Helin von OUSPG

  CVE-2011-0156: Abhishek Arya (Inferno) von Google, Inc.

  CVE-2011-0165: Sergey Glazunov

  CVE-2011-0168: Sergey Glazunov