Informationen zum Sicherheitsinhalt von iTunes 10.5

In diesem Dokument wird der Sicherheitsinhalt von iTunes 10.5 beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates findest du unter Apple-Sicherheitsupdates.

iTunes 10.5

• CoreFoundation

  Verfügbar für: Windows 7, Vista, XP SP2 oder neuer.

  Auswirkung: Ein Man-in-the-Middle-Angriff kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

  Beschreibung: Bei der Verarbeitung der Zeichenfolgen-Tokenisierung kam es zu einem Speicherfehler. Dieses Problem betrifft keine Systeme mit OS X Lion. Für Mac OS X v10.6-Systeme wird dieses Problem im Sicherheitsupdate 2011-006 behoben.

  CVE-ID

  CVE-2011-0259: Apple.

• ColorSync

  Verfügbar für: Windows 7, Vista, XP SP2 oder neuer.

  Auswirkung: Das Anzeigen eines in böser Absicht erstellten Bildes mit eingebettetem ColorSync-Profil kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen.

  Beschreibung: Bei der Verarbeitung von Bildern mit einem eingebetteten ColorSync-Profil trat ein Ganzzahlüberlauf auf, was zu einem Heap-Pufferüberlauf führen könnte. Das Öffnen eines in böswilliger Absicht erstellten Bildes mit einem eingebetteten ColorSync-Profil kann zu einem unerwarteten Beenden der Anwendung oder zur Ausführung von beliebigem Code führen. Dieses Problem betrifft keine Systeme mit OS X Lion.

  CVE-ID

  CVE-2011-0200: binaryproof in Zusammenarbeit mit der Zero Day Initiative von TippingPoint.

• CoreAudio

  Verfügbar für: Windows 7, Vista, XP SP2 oder neuer.

  Auswirkung: Das Abspielen von in böswilliger Absicht erstellten Audioinhalten kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

  Beschreibung: Bei der Verarbeitung von Audiostreams, die mit dem erweiterten Audiocode codiert waren, trat ein Pufferüberlauf auf. Dieses Problem betrifft keine Systeme mit OS X Lion.

  CVE-ID

  CVE-2011-3252: Luigi Auriemma in Zusammenarbeit mit der Zero Day Initiative von TippingPoint.

• CoreMedia

  Verfügbar für: Windows 7, Vista, XP SP2 oder neuer.

  Auswirkung: Das Öffnen einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

  Beschreibung: Bei der Verarbeitung von H.264-codierten Filmdateien kam es zu einem Pufferüberlauf. Für OS X Lion-Systeme wird dieses Problem in OS X Lion v10.7.2 behoben. Für Mac OS X v10.6-Systeme wird dieses Problem im Sicherheitsupdate 2011-006 behoben.

  CVE-ID

  CVE-2011-3219: Ein anonymer Forscher in Zusammenarbeit mit der TippingPoint Zero Day Initiative.

• ImageIO

  Verfügbar für: Windows 7, Vista, XP SP2 oder neuer.

  Auswirkung: Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

  Beschreibung: Bei der Verarbeitung von TIFF-Bildern durch ImageIO kam es zu einem Heap-Pufferüberlauf. Dieses Problem betrifft keine Systeme mit OS X Lion. Für Mac OS X 10.6-Systeme wurde das Problem in Mac OS X 10.6.8 behoben.

  CVE-ID

  CVE-2011-0204: Dominic Chell von NGS Secure.

• ImageIO

  Verfügbar für: Windows 7, Vista, XP SP2 oder neuer.

  Auswirkung: Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

  Beschreibung: Bei der Verarbeitung von TIFF-Bildern durch ImageIO trat ein Ablaufinvarianz-Problem auf. Mac OS X-Systeme sind nicht von diesem Problem betroffen.

  CVE-ID

  CVE-2011-0215: Juan Pablo Lopez Yacubian in Zusammenarbeit mit iDefense VCP.

• WebKit

  Verfügbar für: Windows 7, Vista, XP SP2 oder neuer

  Auswirkung: Ein Man-in-the-Middle-Angriff beim Besuch des iTunes Store über iTunes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

  Beschreibung: In WebKit kam es zu mehreren Speicherfehlern.

  CVE-ID

  CVE-2010-1823: David Weston von Microsoft und Microsoft Vulnerability Research (MSVR), wushi von team509 und Yong Li von Research In Motion Ltd.

  CVE-2011-0164: Apple.

  CVE-2011-0218: SkyLined vom Google Chrome-Sicherheitsteam.

  CVE-2011-0221: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam.

  CVE-2011-0222: Nikita Tarakanov und Alex Bazhanyuk vom CISS Research Team und Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam.

  CVE-2011-0223: Jose A. Vazquez von spa-s3c.blogspot.com in Zusammenarbeit mit iDefense VCP.

  CVE-2011-0225: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam.

  CVE-2011-0232: J23 in Zusammenarbeit mit der Zero Day Initiative von TippingPoint.

  CVE-2011-0233: wushi von team509 in Zusammenarbeit mit der Zero Day Initiative von TippingPoint.

  CVE-2011-0234: Rob King in Zusammenarbeit mit der Zero Day Initiative von TippingPoint, wushi von team509 in Zusammenarbeit mit der Zero Day Initiative von TippingPoint, wushi von team509 in Zusammenarbeit mit iDefense VCP.

  CVE-2011-0235: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam.

  CVE-2011-0237: wushi von team509 in Zusammenarbeit mit iDefense VCP.

  CVE-2011-0238: Adam Barth vom Google Chrome-Sicherheitsteam.

  CVE-2011-0240: wushi von team509 in Zusammenarbeit mit iDefense VCP.

  CVE-2011-0253: Richard Keen.

  CVE-2011-0254: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von TippingPoint.

  CVE-2011-0255: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von TippingPoint.

  CVE-2011-0981: Rik Cabanier von Adobe Systems, Inc.

  CVE-2011-0983: Martin Barbella.

  CVE-2011-1109: Sergey Glazunov.

  CVE-2011-1114: Martin Barbella.

  CVE-2011-1115: Martin Barbella.

  CVE-2011-1117: wushi von team509.

  CVE-2011-1121: miaubiz.

  CVE-2011-1188: Martin Barbella.

  CVE-2011-1203: Sergey Glazunov.

  CVE-2011-1204: Sergey Glazunov.

  CVE-2011-1288: Andreas Kling von Nokia.

  CVE-2011-1293: Sergey Glazunov.

  CVE-2011-1296: Sergey Glazunov.

  CVE-2011-1440: Jose A. Vazquez von spa-s3c.blogspot.com.

  CVE-2011-1449: Marek Majkowski.

  CVE-2011-1451: Sergey Glazunov.

  CVE-2011-1453: wushi von team509 in Zusammenarbeit mit der Zero Day Initiative von TippingPoint.

  CVE-2011-1457: John Knottenbelt von Google.

  CVE-2011-1462: wushi von team509.

  CVE-2011-1797: wushi von team509.

  CVE-2011-2338: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer.

  CVE-2011-2339: Cris Neckar vom Google Chrome-Sicherheitsteam.

  CVE-2011-2341: Apple.

  CVE-2011-2351: miaubiz.

  CVE-2011-2352: Apple.

  CVE-2011-2354: Apple.

  CVE-2011-2356: Adam Barth und Abhishek Arya vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer.

  CVE-2011-2359: miaubiz.

  CVE-2011-2788: Mikolaj Malecki von Samsung.

  CVE-2011-2790: miaubiz.

  CVE-2011-2792: miaubiz.

  CVE-2011-2797: miaubiz.

  CVE-2011-2799: miaubiz.

  CVE-2011-2809: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam.

  CVE-2011-2811: Apple.

  CVE-2011-2813: Cris Neckar vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer.

  CVE-2011-2814: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer.

  CVE-2011-2815: SkyLined vom Google Chrome-Sicherheitsteam.

  CVE-2011-2816: Apple.

  CVE-2011-2817: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer.

  CVE-2011-2818: Martin Barbella.

  CVE-2011-2820: Raman Tenneti und Philip Rogers von Google.

  CVE-2011-2823: SkyLined vom Google Chrome-Sicherheitsteam.

  CVE-2011-2827: miaubiz.

  CVE-2011-2831: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer.

  CVE-2011-3232: Aki Helin von OUSPG.

  CVE-2011-3233: Sadrul Habib Chowdhury von der Chromium-Entwickler-Community, Cris Neckar und Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam.

  CVE-2011-3234: miaubiz.

  CVE-2011-3235: Dimitri Glazkov, Kent Tamura, Dominic Cooney von der Chromium-Entwickler-Community und Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam.

  CVE-2011-3236: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer.

  CVE-2011-3237: Dimitri Glazkov, Kent Tamura, Dominic Cooney von der Chromium-Entwickler-Community und Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam.

  CVE-2011-3238: Martin Barbella.

  CVE-2011-3239: Slawomir Blazek.

  CVE-2011-3241: Apple.

  CVE-2011-3244: vkouchna.

• WebKit

  Verfügbar für: Windows 7, Vista, XP SP2 oder neuer.

  Auswirkung: Ein Man-in-the-Middle-Angriff kann zur Ausführung willkürlichen Codes führen.

  Beschreibung: Bei der Verwendung von libxslt durch WebKit bestand ein Konfigurationsproblem. Ein Man-in-the-Middle-Angriff beim Besuch des iTunes Store über iTunes kann dazu führen, dass beliebige Dateien mit den Rechten des Benutzers erstellt werden, was wiederum zur Ausführung willkürlichen Codes führen kann. Dieses Problem wurde durch verbesserte libxslt-Sicherheitseinstellungen behoben.

  CVE-ID

  CVE-2011-1774: Nicolas Gregoire von Agarri.