Acerca dos conteúdos de segurança do iTunes 10.2

Este documento descreve os conteúdos de segurança do iTunes 10.2.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos Apple".

Sempre que possível, são utilizados CVE ID para designar as vulnerabilidades e disponibilizar mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".

iTunes 10.2

• ImageIO

  Disponível para: Windows 7, Vista, XP SP2 ou posterior

  Impacto: existem várias vulnerabilidades no libpng

  Descrição: o libpng está atualizado para a versão 1.4.3 para corrigir várias vulnerabilidades, a mais grave das quais poderá provocar a execução de um código arbitrário. No caso dos sistemas Mac OS X v10.5, este problema foi resolvido na Atualização de segurança 2010-007. Estão disponíveis mais informações no site do libpng em http://www.libpng.org/pub/png/libpng.html

  ID CVE

  CVE-2010-1205

  CVE-2010-2249

• ImageIO

  Disponível para: Windows 7, Vista, XP SP2 ou posterior

  Impacto: visualizar uma imagem JPEG criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

  Descrição: existia um problema de ultrapassagem do limite máximo do buffer da área dinâmica para dados no processamento de imagens JPEG por parte do ImageIO. Visualizar uma imagem JPEG criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.

  ID CVE

  CVE-2011-0170: Andrzej Dyjak em colaboração com a iDefense VCP

• ImageIO

  Disponível para: Windows 7, Vista, XP SP2 ou posterior

  Impacto: visualizar uma imagem XBM criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

  Descrição: existia um problema de ultrapassagem do limite máximo de números inteiros no processamento de imagens XBM por parte do ImageIO. Visualizar uma imagem XBM criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.

  ID CVE

  CVE-2011-0181: Harry Sintonen

• ImageIO

  Disponível para: Windows 7, Vista, XP SP2 ou posterior

  Impacto: visualizar uma imagem TIFF criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

  Descrição: existia um problema de ultrapassagem do limite máximo do buffer no processamento de imagens TIFF com codificação JPEG por parte do libTIFF. Visualizar uma imagem TIFF criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.

  ID CVE

  CVE-2011-0191: Apple

• ImageIO

  Disponível para: Windows 7, Vista, XP SP2 ou posterior

  Impacto: visualizar uma imagem TIFF criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

  Descrição: existia um problema de ultrapassagem do limite máximo do buffer no processamento de imagens TIFF com codificação CCITT Group 4 por parte do libTIFF. Visualizar uma imagem TIFF criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.

  CVE-ID

  CVE-2011-0192: Apple

• libxml

  Disponível para: Windows 7, Vista, XP SP2 ou posterior

  Impacto: processar um ficheiro XML criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

  Descrição: existia um problema de libertação dupla no processamento de expressões XPath por parte do libxml. Impacto: o processamento de um ficheiro XML criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.

  ID CVE

  CVE-2010-4494: Yang Dingning da NCNIPC, Graduate University of Chinese Academy of Sciences

• libxml

  Disponível para: Windows 7, Vista, XP SP2 ou posterior

  Impacto: processar um ficheiro XML criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

  Descrição: existia um problema de corrupção da memória no processamento do XPath por parte do libxml. Impacto: o processamento de um ficheiro XML criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.

  ID CVE

  CVE-2010-4008: Bui Quang Minh da Bkis (www.bkis.com)

• WebKit

  Disponível para: Windows 7, Vista, XP SP2 ou posterior

  Impacto: um ataque man-in-the-middle poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

  Descrição: existem vários problemas de corrupção de memória no WebKit. Um ataque man-in-the-middle durante a navegação na iTunes Store através do iTunes poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.

  ID CVE

  CVE-2010-1824: kuzzcc e wushi da team509 em colaboração com o programa Zero Day Initiative da TippingPoint

  CVE-2011-0111: Sergey Glazunov

  CVE-2011-0112: Yuzo Fujishima da Google Inc.

  CVE-2011-0113: Andreas Kling da Nokia

  CVE-2011-0114: Chris Evans da Equipa de segurança do Google Chrome

  CVE-2011-0115: J23 em colaboração com o programa Zero Day Initiative da TippingPoint e Emil A Eklund da Google, Inc

  CVE-2011-0116: um investigador anónimo em colaboração com o programa Zero Day Initiative da TippingPoint

  CVE-2011-0117: Abhishek Arya (Inferno) da Google, Inc.

  CVE-2011-0118: Abhishek Arya (Inferno) da Google, Inc.

  CVE-2011-0119: Abhishek Arya (Inferno) da Google, Inc.

  CVE-2011-0120: Abhishek Arya (Inferno) da Google, Inc.

  CVE-2011-0121: Abhishek Arya (Inferno) da Google, Inc.

  CVE-2011-0122: Slawomir Blazek

  CVE-2011-0123: Abhishek Arya (Inferno) da Google, Inc.

  CVE-2011-0124: Yuzo Fujishima da Google Inc.

  CVE-2011-0125: Abhishek Arya (Inferno) da Google, Inc.

  CVE-2011-0126: Mihai Parparita da Google, Inc.

  CVE-2011-0127: Abhishek Arya (Inferno) da Google, Inc.

  CVE-2011-0128: David Bloom

  CVE-2011-0129: Famlam

  CVE-2011-0130: Apple

  CVE-2011-0131: wushi da team509

  CVE-2011-0132: wushi da team509 em colaboração com o programa Zero Day Initiative da TippingPoint

  CVE-2011-0133: wushi da team509 em colaboração com o programa Zero Day Initiative da TippingPoint

  CVE-2011-0134: Jan Tosovsky

  CVE-2011-0135: um denunciante anónimo

  CVE-2011-0136: Sergey Glazunov

  CVE-2011-0137: Sergey Glazunov

  CVE-2011-0138: kuzzcc

  CVE-2011-0139: kuzzcc

  CVE-2011-0140: Sergey Glazunov

  CVE-2011-0141: Chris Rohlf da Matasano Security

  CVE-2011-0142: Abhishek Arya (Inferno) da Google, Inc.

  CVE-2011-0143: Slawomir Blazek e Sergey Glazunov

  CVE-2011-0144: Emil A Eklund da Google, Inc.

  CVE-2011-0145: Abhishek Arya (Inferno) da Google, Inc.

  CVE-2011-0146: Abhishek Arya (Inferno) da Google, Inc.

  CVE-2011-0147: Dirk Schulze

  CVE-2011-0148: Michal Zalewski da Google, Inc.

  CVE-2011-0149: wushi da team509 em colaboração com o programa Zero Day Initiative da TippingPoint e SkyLined da Equipa de segurança do Google Chrome

  CVE-2011-0150: Michael Gundlach da safariadblock.com

  CVE-2011-0151: Abhishek Arya (Inferno) da Google, Inc.

  CVE-2011-0152: SkyLined da Equipa de segurança do Google Chrome

  CVE-2011-0153: Abhishek Arya (Inferno) da Google, Inc.

  CVE-2011-0154: um investigador anónimo em colaboração com o programa Zero Day Initiative da TippingPoint

  CVE-2011-0155: Aki Helin da OUSPG

  CVE-2011-0156: Abhishek Arya (Inferno) da Google, Inc.

  CVE-2011-0165: Sergey Glazunov

  CVE-2011-0168: Sergey Glazunov