Informacije o sigurnosnom sadržaju aplikacije iTunes 10.5
U ovom se dokumentu opisuje sigurnosni sadržaj aplikacije iTunes 10.5.
Da bi zaštitio korisnike, Apple ne otkriva, ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i javno ne ponudi zakrpe ili nova izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.
Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu Upotreba PGP ključa za sigurnost Appleovih proizvoda.
Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.
Da biste saznali više o sigurnosnim ažuriranjima pogledajte Appleova sigurnosna ažuriranja.
iTunes 10.5
CoreFoundation
Dostupno za: Windows 7, Vista, XP SP2 ili novije.
Utjecaj: man-in-the-middle napad može uzrokovati neočekivano zatvaranje aplikacije ili samovoljno izvršavanje koda.
Opis: u načinu obrade tokenizacije niza postojao je problem s oštećenjem memorije. Problem ne utječe na sustave OS X Lion. Za sustave Mac OS X v10.6 problem je riješen u sigurnosnom ažuriranju 2011-006.
CVE-ID
CVE-2011-0259: Apple.
ColorSync
Dostupno za: Windows 7, Vista, XP SP2 ili novije.
Učinak: prikaz zlonamjerne slike s ugrađenim ColorSync profilom može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda.
Opis: postojao je problem s preljevom cijelog broja u baratanju slikama s ColorSync profilom, što može uzrokovati preljev međuspremnika snopa. Otvaranje zlonamjerne slike s ugrađenim ColorSync profilom može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem ne utječe na sustave OS X Lion.
CVE-ID
CVE-2011-0200: binaryproof radi na TippingPoint-ovoj inicijativi Zero Day Initiative.
CoreAudio
Dostupno za: Windows 7, Vista, XP SP2 ili novije.
Utjecaj: reprodukcija zlonamjerno izrađenog audiosadržaja može uzrokovati neočekivano zatvaranje aplikacije ili samovoljno izvršavanje koda.
Opis: postojao je problem s preljevom u baratanju audio-strujanjem kodiranim pomoću naprednog audio koda. Problem ne utječe na sustave OS X Lion.
CVE-ID
CVE-2011-3252: Luigi Auriemma koji radi na TippingPoint-ovoj inicijativi Zero Day Initiative.
CoreMedia
Dostupno za: Windows 7, Vista, XP SP2 ili novije.
Učinak: prikazivanje zlonamjerno stvorene filmske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda.
Opis: postojao je problem s preljevom u baratanju H.264 kodiranim datotekama filmova. Za sustave OS X Lion problem je riješen u verziji OS X Lion v10.7.2. Za sustave Mac OS X v10.6 problem je riješen u sigurnosnom ažuriranju 2011-006.
CVE-ID
CVE-2011-3219: Damian Put koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint.
ImageIO
Dostupno za: Windows 7, Vista, XP SP2 ili novije.
Učinak: otvaranje zlonamjerne TIFF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda.
Opis: postojao je problem preljeva međuspremnika snopa u baratanju TIFF slikama od strane programa ImageIO. Problem ne utječe na sustave OS X Lion. Za sustave Mac OS X v10.6, taj je problem riješen u verziji OS X v10.6.8.
CVE-ID
CVE-2011-0204: Dominic Chell iz tvrtke NGS Secure.
ImageIO
Dostupno za: Windows 7, Vista, XP SP2 ili novije.
Učinak: otvaranje zlonamjerne TIFF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda.
Opis: postojao je problem reentrant rutine u baratanju TIFF slikama od strane programa ImageIO. Problem ne utječe na sustave Mac OS X.
CVE-ID
CVE-2011-0215: Juan Pablo Lopez Yacubian koji radi s programom iDefense VCP.
WebKit
Dostupno za: Windows 7, Vista, XP SP2 ili novije
Utjecaj: man-in-the-middle napad tijekom pregledavanja trgovine iTunes putem aplikacije iTunes može uzrokovati neočekivano zatvaranje aplikacije ili samovoljno izvršavanje koda.
Opis: u WebKitu je otkriven veći broj problema s oštećenom memorijom.
CVE-ID
CVE-2010-1823: David Weston iz tvrtke Microsoft i programa Microsoft Vulnerability Research (MSVR), wushi iz tima team509 te Yong Li iz tvrtke Research In Motion Ltd.
CVE-2011-0164: Apple.
CVE-2011-0218: SkyLined iz tima za sigurnost preglednika Google Chrome.
CVE-2011-0221: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome.
CVE-2011-0222: Nikita Tarakanov i Alex Bazhanyuk iz istraživačkog tima CISS i Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome.
CVE-2011-0223: Jose A. Vazquez iz tvrtke spa-s3c.blogspot.com koji radi s programom iDefense VCP.
CVE-2011-0225: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome.
CVE-2011-0232: J23 koji radi na inicijativi Zero Day Initiative tvrtke Tipping Point.
CVE-2011-0233: wushi iz grupe team509, koja radi na inicijativi Zero Day Initiative tvrtke TippingPoint.
CVE-2011-0234: Rob King koji radi s TippingPoint-ovom inicijativom Zero Day Initiative, wushi iz tima team509 koji radi s TippingPoint-ovom inicijativnom Zero Day Initiative, wushi iz tima team509 koji radi s programom iDefense VCP.
CVE-2011-0235: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome.
CVE-2011-0237: wushi iz tima team509 koji radi s programom iDefense VCP.
CVE-2011-0238: Adam Barth iz tima za sigurnost preglednika Google Chrome.
CVE-2011-0240: wushi iz tima team509 koji radi s programom iDefense VCP.
CVE-2011-0253: Richard Keen.
CVE-2011-0254: anonimni istraživač koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint.
CVE-2011-0255: anonimni istraživač koji radi na TippingPoint-ovoj inicijativi Zero Day Initiative.
CVE-2011-0981: Rik Cabanier iz tvrtke Adobe Systems, Inc.
CVE-2011-0983: Martin Barbella.
CVE-2011-1109: Sergey Glazunov.
CVE-2011-1114: Martin Barbella.
CVE-2011-1115: Martin Barbella.
CVE-2011-1117: wushi iz grupe team509.
CVE-2011-1121: miaubiz.
CVE-2011-1188: Martin Barbella.
CVE-2011-1203: Sergey Glazunov.
CVE-2011-1204: Sergey Glazunov.
CVE-2011-1288: Andreas Kling iz tvrtke Nokia.
CVE-2011-1293: Sergey Glazunov.
CVE-2011-1296: Sergey Glazunov.
CVE-2011-1440: Jose A. Vazquez iz tvrtke spa-s3c.blogspot.com.
CVE-2011-1449: Marek Majkowski.
CVE-2011-1451: Sergey Glazunov.
CVE-2011-1453: wushi iz grupe team509, koja radi na inicijativi Zero Day Initiative tvrtke TippingPoint.
CVE-2011-1457: John Knottenbelt iz Googlea.
CVE-2011-1462: wushi iz grupe team509.
CVE-2011-1797: wushi iz grupe team509.
CVE-2011-2338: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome putem alata AddressSanitizer.
CVE-2011-2339: Cris Neckar iz tima za sigurnost preglednika Google Chrome.
CVE-2011-2341: Apple.
CVE-2011-2351: miaubiz.
CVE-2011-2352: Apple.
CVE-2011-2354: Apple.
CVE-2011-2356: Adam Barth i Abhishek Arya iz tima za sigurnost preglednika Google Chrome putem alata AddressSanitizer.
CVE-2011-2359: miaubiz.
CVE-2011-2788: Mikolaj Malecki iz Samsunga.
CVE-2011-2790: miaubiz.
CVE-2011-2792: miaubiz.
CVE-2011-2797: miaubiz.
CVE-2011-2799: miaubiz.
CVE-2011-2809: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome.
CVE-2011-2811: Apple.
CVE-2011-2813: Cris Neckar iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer.
CVE-2011-2814: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome putem alata AddressSanitizer.
CVE-2011-2815: SkyLined iz tima za sigurnost preglednika Google Chrome.
CVE-2011-2816: Apple.
CVE-2011-2817: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome putem alata AddressSanitizer.
CVE-2011-2818: Martin Barbella.
CVE-2011-2820: Raman Tenneti i Philip Rogers iz Googlea.
CVE-2011-2823: SkyLined iz tima za sigurnost preglednika Google Chrome.
CVE-2011-2827: miaubiz.
CVE-2011-2831: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome putem alata AddressSanitizer.
CVE-2011-3232: Aki Helin iz OUSPG-a.
CVE-2011-3233: Sadrul Habib Chowdhury iz zajednice razvojnih inženjera Chromium, Cris Neckar i Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome.
CVE-2011-3234: miaubiz.
CVE-2011-3235: Dimitri Glazkov, Kent Tamura, Dominic Cooney iz razvojne zajednice za Chromium i Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome.
CVE-2011-3236: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome putem alata AddressSanitizer.
CVE-2011-3237: Dimitri Glazkov, Kent Tamura, Dominic Cooney iz razvojne zajednice za Chromium i Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome.
CVE-2011-3238: Martin Barbella.
CVE-2011-3239: Slawomir Blazek.
CVE-2011-3241: Apple.
CVE-2011-3244: vkouchna.
WebKit
Dostupno za: Windows 7, Vista, XP SP2 ili novije.
Utjecaj: man-in-the-middle napad može uzrokovati samovoljno izvršavanje koda.
Opis: u načinu na koji WebKit koristi libxslt postojao je problem s konfiguracijom. Man-in-the-middle napad tijekom pregledavanja trgovine iTunes putem aplikacije iTunes može uzrokovati samovoljnu izradu datoteka s privilegijama korisnika, što onda može izvršavati samovoljno izvršavanje koda. Problem se rješava poboljšanim postavkama sigurnosti za libxslt.
CVE-ID
CVE-2011-1774: Nicolas Gregoire iz tvrtke Agarri.
Važno: navođenje web-mjesta i proizvoda trećih strana samo je informativne naravi i ne predstavlja njihovo odobravanje ni preporuku. Apple ne preuzima odgovornost za izbor, performanse ili upotrebu informacija ili proizvoda koji se mogu pronaći na web-mjestima trećih strana. Apple navedeno pruža samo radi boljeg korisničkog iskustva naših korisnika. Apple nije ispitao informacije pronađene na ovim web-mjestima i ne iznosi nikakve tvrdnje vezane za njihovu točnost ili pouzdanost. Upotreba informacija ili proizvoda s interneta može predstavljati određene rizike, a Apple ne preuzima odgovornost po tom pitanju. Imajte na umu da je web-mjesto treće strane neovisno u odnosu na Apple te da Apple ne upravlja sadržajem tih web-mjesta. Obratite se dobavljaču za više informacija.