Sobre o conteúdo de segurança do iTunes 10.2

Este documento descreve o conteúdo de segurança do iTunes 10.2.

Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário tenha mais informações.

Para saber mais sobre outras Atualizações de Segurança, consulte o artigo Versões de segurança da Apple.

iTunes 10.2

  • ImageIO

    Disponível para: Windows 7, Vista, XP SP2 ou posterior

    Impacto: várias vulnerabilidades no libpng

    Descrição: o libpng é atualizado para a versão 1.4.3 para resolver várias vulnerabilidades, a mais seria delas podendo levar à execução arbitrária de códigos. No caso de sistemas Mac OS X 10.5, esse problema foi resolvido na Atualização de Segurança 2010-007. Mais informações estão dispníveis no site da libpng em http://www.libpng.org/pub/png/libpng.html

    CVE-ID

    CVE-2010-1205

    CVE-2010-2249

  • ImageIO

    Disponível para: Windows 7, Vista, XP SP2 ou posterior

    Impacto: visualizar uma imagem JPEG criada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: ocorre um estouro de buffer de pilha no processamento de imagens JPEG por ImageIO. A visualização de uma imagem JPEG criada com códigos maliciosos poderia causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.

    CVE-ID

    CVE-2011-0170: Andrzej Dyjak, em parceria com o VCP da iDefense.

  • ImageIO

    Disponível para: Windows 7, Vista, XP SP2 ou posterior

    Impacto: visualizar uma imagem XBM criada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: ocorre um estouro de buffer de inteiro no processamento de imagens XBM por ImageIO. A visualização de uma imagem XBM criada com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários.

    CVE-ID

    CVE-2011-0181: Harry Sintonen

  • ImageIO

    Disponível para: Windows 7, Vista, XP SP2 ou posterior

    Impacto: ver uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: existia um estouro de buffer no processamento de arquivos de imagens TIFF codificadas em JPEG pelo libTIFF. A visualização de uma imagem TIFF criada com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários.

    CVE-ID

    CVE-2011-0191: Apple

  • ImageIO

    Disponível para: Windows 2, Vista, XP SP4 ou posterior

    Impacto: ver uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: existia um estouro de buffer no processamento de imagens TIFF codificadas em Grupo 4 CCITT pelo libTIFF. A visualização de uma imagem TIFF criada com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários.

    CVE-ID

    CVE-2011-0192: Apple

  • libxml

    Disponível para: Windows 7, Vista, XP SP2 ou posterior

    Impacto: reproduzir um arquivo XML criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: existia um problema do tipo "double free" no processamento de expressões XPath pelo libxml. O processamento de um arquivo XML criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos.

    CVE-ID

    CVE-2010-4494: Yang Dingning da NCNIPC, Graduate University of Chinese Academy of Sciences

  • libxml

    Disponível para: Windows 7, Vista, XP SP2 ou posterior

    Impacto: reproduzir um arquivo XML criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: existia um problema de memória corrompida no processamento de XPath por libxml. O processamento de um arquivo XML criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos.

    CVE-ID

    CVE-2010-4008: Bui Quang Minh da Bkis (www.bkis.com)

  • WebKit

    Disponível para: Windows 7, Vista, XP SP2 ou posterior

    Impacto: Um ataque "man-in-the-middle" pode levar a um encerramento inesperado do aplicativo ou à execução arbitrária de códigos.

    Descrição: havia vários problemas de corrupção de memória no WebKit. Um ataque "man-in-the-middle" ao navegar na iTunes Store via iTunes pode levar a um encerramento inesperado do aplicativo ou à execução arbitrária de códigos.

    CVE-ID

    CVE-2010-1824: kuzzcc e wushi da team509 em parceria com a Zero Day Initiative da TippingPoint

    CVE-2011-0111: Sergey Glazunov

    CVE-2011-0112: Yuzo Fujishima da Google Inc.

    CVE-2011-0113: Andreas Kling da Nokia

    CVE-2011-0114: Chris Evans da Google Chrome Security Team

    CVE-2011-0115: J23 em parceria com a Zero Day Initiative da TippingPoint e Emil A Eklund da Google, Inc

    CVE-2011-0116: pesquisador anônimo em parceria com a Zero Day Initiative da TippingPoint

    CVE-2011-0117: Abhishek Arya (Inferno) da Google, Inc.

    CVE-2011-0118: Abhishek Arya (Inferno) da Google, Inc.

    CVE-2011-0119: Abhishek Arya (Inferno) da Google, Inc.

    CVE-2011-0120: Abhishek Arya (Inferno) da Google, Inc.

    CVE-2011-0121: Abhishek Arya (Inferno) da Google, Inc.

    CVE-2011-0122: Slawomir Blazek

    CVE-2011-0123: Abhishek Arya (Inferno) da Google, Inc.

    CVE-2011-0124: Yuzo Fujishima da Google Inc.

    CVE-2011-0125: Abhishek Arya (Inferno) da Google, Inc.

    CVE-2011-0126: Mihai Parparita da Google, Inc.

    CVE-2011-0127: Abhishek Arya (Inferno) da Google, Inc.

    CVE-2011-0128: David Bloom

    CVE-2011-0129: Famlam

    CVE-2011-0130: Apple

    CVE-2011-0131: wushi da team509

    CVE-2011-0132: wushi da team509 em parceria com a Zero Day Initiative da TippingPoint

    CVE-2011-0133: wushi da team509 em parceria com a Zero Day Initiative da TippingPoint

    CVE-2011-0134: Jan Tosovsky

    CVE-2011-0135: uma pessoa que relatou de forma anônima

    CVE-2011-0136: Sergey Glazunov

    CVE-2011-0137: Sergey Glazunov

    CVE-2011-0138: kuzzcc

    CVE-2011-0139: kuzzcc

    CVE-2011-0140: Sergey Glazunov

    CVE-2011-0141: Chris Rohlf da Matasano Security

    CVE-2011-0142: Abhishek Arya (Inferno) da Google, Inc.

    CVE-2011-0143: Slawomir Blazek e Sergey Glazunov

    CVE-2011-0144: Emil A Eklund da Google, Inc.

    CVE-2011-0145: Abhishek Arya (Inferno) da Google, Inc.

    CVE-2011-0146: Abhishek Arya (Inferno) da Google, Inc.

    CVE-2011-0147: Dirk Schulze

    CVE-2011-0148: Michal Zalewski da Google, Inc.

    CVE-2011-0149: wushi da team509, em parceria com a Zero Day Initiative da TippingPoint, e SkyLined da Google Chrome Security Team

    CVE-2011-0150: Michael Gundlach da safariadblock.com

    CVE-2011-0151: Abhishek Arya (Inferno) da Google, Inc.

    CVE-2011-0152: SkyLined da Google Chrome Security Team

    CVE-2011-0153: Abhishek Arya (Inferno) da Google, Inc.

    CVE-2011-0154: pesquisador anônimo, em parceria com a Zero Day Initiative da TippingPoint.

    CVE-2011-0155: Aki Helin of OUSPG

    CVE-2011-0156: Abhishek Arya (Inferno) da Google, Inc.

    CVE-2011-0165: Sergey Glazunov

    CVE-2011-0168: Sergey Glazunov

Importante: a menção a sites e produtos de terceiros tem fins somente informativos e não constitui aprovação nem recomendação. A Apple não assume responsabilidade pela seleção, pelo desempenho nem pelo uso de informações ou produtos disponíveis em sites de terceiros. A Apple fornece essas informações somente como cortesia para os usuários. A Apple não testou as informações disponíveis nesses sites e não garante sua precisão ou confiabilidade. O uso de quaisquer informações ou produtos disponíveis na Internet implica riscos, pelos quais a Apple não se responsabiliza. É importante compreender que sites de terceiros são independentes da Apple e que a Apple não tem controle sobre o conteúdo neles exibido. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: