Acerca dos conteúdos de segurança do iTunes 10.2
Este documento descreve os conteúdos de segurança do iTunes 10.2.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.
Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos Apple".
Sempre que possível, são utilizados CVE ID para designar as vulnerabilidades e disponibilizar mais informações.
Para saber mais sobre outras Atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".
iTunes 10.2
ImageIO
Disponível para: Windows 7, Vista, XP SP2 ou posterior
Impacto: existem várias vulnerabilidades no libpng
Descrição: o libpng está atualizado para a versão 1.4.3 para corrigir várias vulnerabilidades, a mais grave das quais poderá provocar a execução de um código arbitrário. No caso dos sistemas Mac OS X v10.5, este problema foi resolvido na Atualização de segurança 2010-007. Estão disponíveis mais informações no site do libpng em http://www.libpng.org/pub/png/libpng.html
ID CVE
CVE-2010-1205
CVE-2010-2249
ImageIO
Disponível para: Windows 7, Vista, XP SP2 ou posterior
Impacto: visualizar uma imagem JPEG criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo do buffer da área dinâmica para dados no processamento de imagens JPEG por parte do ImageIO. Visualizar uma imagem JPEG criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.
ID CVE
CVE-2011-0170: Andrzej Dyjak em colaboração com a iDefense VCP
ImageIO
Disponível para: Windows 7, Vista, XP SP2 ou posterior
Impacto: visualizar uma imagem XBM criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no processamento de imagens XBM por parte do ImageIO. Visualizar uma imagem XBM criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.
ID CVE
CVE-2011-0181: Harry Sintonen
ImageIO
Disponível para: Windows 7, Vista, XP SP2 ou posterior
Impacto: visualizar uma imagem TIFF criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo do buffer no processamento de imagens TIFF com codificação JPEG por parte do libTIFF. Visualizar uma imagem TIFF criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.
ID CVE
CVE-2011-0191: Apple
ImageIO
Disponível para: Windows 7, Vista, XP SP2 ou posterior
Impacto: visualizar uma imagem TIFF criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de ultrapassagem do limite máximo do buffer no processamento de imagens TIFF com codificação CCITT Group 4 por parte do libTIFF. Visualizar uma imagem TIFF criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.
CVE-ID
CVE-2011-0192: Apple
libxml
Disponível para: Windows 7, Vista, XP SP2 ou posterior
Impacto: processar um ficheiro XML criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de libertação dupla no processamento de expressões XPath por parte do libxml. Impacto: o processamento de um ficheiro XML criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.
ID CVE
CVE-2010-4494: Yang Dingning da NCNIPC, Graduate University of Chinese Academy of Sciences
libxml
Disponível para: Windows 7, Vista, XP SP2 ou posterior
Impacto: processar um ficheiro XML criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existia um problema de corrupção da memória no processamento do XPath por parte do libxml. Impacto: o processamento de um ficheiro XML criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.
ID CVE
CVE-2010-4008: Bui Quang Minh da Bkis (www.bkis.com)
WebKit
Disponível para: Windows 7, Vista, XP SP2 ou posterior
Impacto: um ataque man-in-the-middle poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existem vários problemas de corrupção de memória no WebKit. Um ataque man-in-the-middle durante a navegação na iTunes Store através do iTunes poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.
ID CVE
CVE-2010-1824: kuzzcc e wushi da team509 em colaboração com o programa Zero Day Initiative da TippingPoint
CVE-2011-0111: Sergey Glazunov
CVE-2011-0112: Yuzo Fujishima da Google Inc.
CVE-2011-0113: Andreas Kling da Nokia
CVE-2011-0114: Chris Evans da Equipa de segurança do Google Chrome
CVE-2011-0115: J23 em colaboração com o programa Zero Day Initiative da TippingPoint e Emil A Eklund da Google, Inc
CVE-2011-0116: um investigador anónimo em colaboração com o programa Zero Day Initiative da TippingPoint
CVE-2011-0117: Abhishek Arya (Inferno) da Google, Inc.
CVE-2011-0118: Abhishek Arya (Inferno) da Google, Inc.
CVE-2011-0119: Abhishek Arya (Inferno) da Google, Inc.
CVE-2011-0120: Abhishek Arya (Inferno) da Google, Inc.
CVE-2011-0121: Abhishek Arya (Inferno) da Google, Inc.
CVE-2011-0122: Slawomir Blazek
CVE-2011-0123: Abhishek Arya (Inferno) da Google, Inc.
CVE-2011-0124: Yuzo Fujishima da Google Inc.
CVE-2011-0125: Abhishek Arya (Inferno) da Google, Inc.
CVE-2011-0126: Mihai Parparita da Google, Inc.
CVE-2011-0127: Abhishek Arya (Inferno) da Google, Inc.
CVE-2011-0128: David Bloom
CVE-2011-0129: Famlam
CVE-2011-0130: Apple
CVE-2011-0131: wushi da team509
CVE-2011-0132: wushi da team509 em colaboração com o programa Zero Day Initiative da TippingPoint
CVE-2011-0133: wushi da team509 em colaboração com o programa Zero Day Initiative da TippingPoint
CVE-2011-0134: Jan Tosovsky
CVE-2011-0135: um denunciante anónimo
CVE-2011-0136: Sergey Glazunov
CVE-2011-0137: Sergey Glazunov
CVE-2011-0138: kuzzcc
CVE-2011-0139: kuzzcc
CVE-2011-0140: Sergey Glazunov
CVE-2011-0141: Chris Rohlf da Matasano Security
CVE-2011-0142: Abhishek Arya (Inferno) da Google, Inc.
CVE-2011-0143: Slawomir Blazek e Sergey Glazunov
CVE-2011-0144: Emil A Eklund da Google, Inc.
CVE-2011-0145: Abhishek Arya (Inferno) da Google, Inc.
CVE-2011-0146: Abhishek Arya (Inferno) da Google, Inc.
CVE-2011-0147: Dirk Schulze
CVE-2011-0148: Michal Zalewski da Google, Inc.
CVE-2011-0149: wushi da team509 em colaboração com o programa Zero Day Initiative da TippingPoint e SkyLined da Equipa de segurança do Google Chrome
CVE-2011-0150: Michael Gundlach da safariadblock.com
CVE-2011-0151: Abhishek Arya (Inferno) da Google, Inc.
CVE-2011-0152: SkyLined da Equipa de segurança do Google Chrome
CVE-2011-0153: Abhishek Arya (Inferno) da Google, Inc.
CVE-2011-0154: um investigador anónimo em colaboração com o programa Zero Day Initiative da TippingPoint
CVE-2011-0155: Aki Helin da OUSPG
CVE-2011-0156: Abhishek Arya (Inferno) da Google, Inc.
CVE-2011-0165: Sergey Glazunov
CVE-2011-0168: Sergey Glazunov
Importante: a menção de sites e de produtos de terceiros destina-se apenas a efeitos de informação, e não constitui uma recomendação nem aprovação. A Apple não assume qualquer responsabilidade relativamente à seleção, desempenho ou utilização de informações ou produtos encontrados em sites de terceiros. A Apple fornece estas informações apenas como comodidade para os nossos utilizadores. A Apple não testou as informações encontradas nestes sites e não garante a respetiva precisão ou fiabilidade. Existem riscos inerentes à utilização de quaisquer informações ou produtos encontrados na Internet e a Apple não assume qualquer responsabilidade a este respeito. Tenha em atenção que um site de terceiros é independente da Apple e que a Apple não tem controlo sobre os conteúdos do respetivo site. Contacte o fornecedor para obter mais informações.