Tietoja iTunes 10.5:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iTunes 10.5:n turvallisuussisällöstä.

Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

iTunes 10.5

  • CoreFoundation

    Saatavuus: Windows 7, Vista, XP SP2 ja uudemmat

    Vaikutus: väliintulohyökkäys saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaiseen koodin suorittamiseen.

    Kuvaus: Merkkijonon tokenisoinnin käsittelyssä oli muistin vioittumisongelma. Ongelma ei koske OS X Lion -järjestelmiä. Mac OS X 10.6 -järjestelmien osalta tämä ongelma on ratkaistu suojauspäivityksessä 2011-006.

    CVE-ID

    CVE-2011-0259: Apple

  • ColorSync

    Saatavuus: Windows 7, Vista, XP SP2 ja uudemmat

    Vaikutus: upotetun ColorSync-profiilin sisältävän haitallisen kuvan avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: Upotetun ColorSync-profiilin sisältävien kuvien käsittelyssä oli kokonaisluvun ylivuoto, joka saattoi aiheuttaa kekopuskurin ylivuodon. Upotetun ColorSync-profiilin sisältävän kuvan avaaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Ongelma ei koske OS X Lion -järjestelmiä.

    CVE-ID

    CVE-2011-0200: binaryproof yhteistyössä TippingPointin Zero Day Initiativen kanssa

  • CoreAudio

    Saatavuus: Windows 7, Vista, XP SP2 ja uudemmat

    Vaikutus: haitallisen äänisisällön toistaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: Edistyksellisellä äänikoodilla koodatun äänivirran käsittelyssä oli puskurin ylivuoto. Ongelma ei koske OS X Lion -järjestelmiä.

    CVE-ID

    CVE-2011-3252: Luigi Auriemma yhteistyössä TippingPointin Zero Day Initiativen kanssa

  • CoreMedia

    Saatavuus: Windows 7, Vista, XP SP2 ja uudemmat

    Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: H.264-koodattujen elokuvatiedostojen käsittelyssä oli puskurin ylivuoto. OS X Lion -järjestelmien osalta ongelma on ratkaistu OS X Lion v10.7.2 -päivityksessä. Mac OS X v10.6 -järjestelmien osalta ongelma on ratkaistu suojauspäivityksessä 2011-006.

    CVE-ID

    CVE-2011-3219 : Damian Put, TippingPointin Zero Day Initiative.

  • ImageIO

    Saatavuus: Windows 7, Vista, XP SP2 ja uudemmat

    Vaikutus: haitallisen TIFF-kuvan avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: ImageIO:n tavassa käsitellä TIFF-kuvia oli kekopuskurin ylivuoto. Ongelma ei koske OS X Lion -järjestelmiä. Mac OS X 10.6 ‑järjestelmien osalta tämä ongelma on ratkaistu Mac OS X ‑versiossa 10.6.8.

    CVE-ID

    CVE-2011-0204: Dominic Chell (NGS Secure)

  • ImageIO

    Saatavuus: Windows 7, Vista, XP SP2 ja uudemmat

    Vaikutus: haitallisen TIFF-kuvan avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: ImageIO:n tavassa käsitellä TIFF-kuvia oli reentrancy-ongelma. Tämä ongelma ei koske Mac OS X -järjestelmiä.

    CVE-ID

    CVE-2011-0215: Juan Pablo Lopez Yacubian yhteistyössä iDefense VCP:n kanssa

  • WebKit

    Saatavuus: Windows 7, Vista, XP SP2 ja uudemmat

    Vaikutus: kun iTunes Storea selattiin iTunesin kautta, väliintulohyökkäys saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitissä oli useita muistin vioittumiseen liittyviä ongelmia.

    CVE-ID

    CVE-2010-1823: David Weston (Microsoft ja Microsoft Vulnerability Research, MSVR), wushi (team509) ja Yong Li (Research In Motion Ltd)

    CVE-2011-0164: Apple

    CVE-2011-0218: SkyLined (Google Chrome Security Team)

    CVE-2011-0221: Abhishek Arya (Inferno, Google Chrome Security Team)

    CVE-2011-0222: Nikita Tarakanov ja Alex Bazhanyuk (CISS Research Team) ja Abhishek Arya (Inferno, Google Chrome Security Team)

    CVE-2011-0223: Jose A. Vazquez (spa-s3c.blogspot.com) yhteistyössä iDefense VCP:n kanssa

    CVE-2011-0225: Abhishek Arya (Inferno, Google Chrome Security Team)

    CVE-2011-0232: J23 yhteistyössä TippingPointin Zero Day Initiativen kanssa

    CVE-2011-0233: wushi (team509) yhteistyössä TippingPointin Zero Day Initiativen kanssa

    CVE-2011-0234: Rob King yhteistyössä TippingPointin Zero Day Initiativen kanssa, wushi (team509) yhteistyössä TippingPointin Zero Day Initiativen kanssa, wushi (team509) yhteistyössä iDefense VCP:n kanssa

    CVE-2011-0235: Abhishek Arya (Inferno, Google Chrome Security Team)

    CVE-2011-0237: wushi (team509) yhteistyössä iDefense VCP:n kanssa

    CVE-2011-0238: Adam Barth (Google Chrome Security Team)

    CVE-2011-0240: wushi (team509) yhteistyössä iDefense VCP:n kanssa

    CVE-2011-0253: Richard Keen

    CVE-2011-0254: nimetön tutkija yhteistyössä TippingPointin Zero Day Initiativen kanssa

    CVE-2011-0255: nimetön tutkija yhteistyössä TippingPointin Zero Day Initiativen kanssa

    CVE-2011-0981: Rik Cabanier (Adobe Systems, Inc.)

    CVE-2011-0983: Martin Barbella

    CVE-2011-1109: Sergey Glazunov

    CVE-2011-1114: Martin Barbella

    CVE-2011-1115: Martin Barbella

    CVE-2011-1117: wushi (team509)

    CVE-2011-1121: miaubiz

    CVE-2011-1188: Martin Barbella

    CVE-2011-1203: Sergey Glazunov

    CVE-2011-1204: Sergey Glazunov

    CVE-2011-1288: Andreas Kling (Nokia)

    CVE-2011-1293: Sergey Glazunov

    CVE-2011-1296: Sergey Glazunov

    CVE-2011-1440: Jose A. Vazquez (spa-s3c.blogspot.com)

    CVE-2011-1449: Marek Majkowski

    CVE-2011-1451: Sergey Glazunov

    CVE-2011-1453: wushi (team509) yhteistyössä TippingPointin Zero Day Initiativen kanssa

    CVE-2011-1457: John Knottenbelt (Google)

    CVE-2011-1462: wushi (team509)

    CVE-2011-1797: wushi (team509)

    CVE-2011-2338: Abhishek Arya (Inferno, Google Chrome Security Team), käytössä AddressSanitizer

    CVE-2011-2339: Cris Neckar (Google Chrome Security Team)

    CVE-2011-2341: Apple

    CVE-2011-2351: miaubiz

    CVE-2011-2352: Apple

    CVE-2011-2354: Apple

    CVE-2011-2356: Adam Barth ja Abhishek Arya (Google Chrome Security Team), käytössä AddressSanitizer

    CVE-2011-2359: miaubiz

    CVE-2011-2788: Mikolaj Malecki (Samsung)

    CVE-2011-2790: miaubiz

    CVE-2011-2792: miaubiz

    CVE-2011-2797: miaubiz

    CVE-2011-2799: miaubiz

    CVE-2011-2809: Abhishek Arya (Inferno, Google Chrome Security Team)

    CVE-2011-2811: Apple

    CVE-2011-2813: Cris Neckar (Google Chrome Security Team), käytössä AddressSanitizer

    CVE-2011-2814: Abhishek Arya (Inferno, Google Chrome Security Team), käytössä AddressSanitizer

    CVE-2011-2815: SkyLined (Google Chrome Security Team)

    CVE-2011-2816: Apple

    CVE-2011-2817: Abhishek Arya (Inferno, Google Chrome Security Team), käytössä AddressSanitizer

    CVE-2011-2818: Martin Barbella

    CVE-2011-2820: Raman Tenneti ja Philip Rogers (Google)

    CVE-2011-2823: SkyLined (Google Chrome Security Team)

    CVE-2011-2827: miaubiz

    CVE-2011-2831: Abhishek Arya (Inferno, Google Chrome Security Team), käytössä AddressSanitizer

    CVE-2011-3232: Aki Helin (OUSPG)

    CVE-2011-3233: Sadrul Habib Chowdhury (Chromium development community), Cris Neckar ja Abhishek Arya (Inferno) (Google Chrome Security Team)

    CVE-2011-3234: miaubiz

    CVE-2011-3235: Dimitri Glazkov, Kent Tamura, Dominic Cooney (Chromium development community) ja Abhishek Arya (Inferno, Google Chrome Security Team)

    CVE-2011-3236: Abhishek Arya (Inferno, Google Chrome Security Team), käytössä AddressSanitizer

    CVE-2011-3237: Dimitri Glazkov, Kent Tamura, Dominic Cooney (Chromium development community) ja Abhishek Arya (Inferno, Google Chrome Security Team)

    CVE-2011-3238: Martin Barbella

    CVE-2011-3239: Slawomir Blazek

    CVE-2011-3241: Apple

    CVE-2011-3244: vkouchna

  • WebKit

    Saatavuus: Windows 7, Vista, XP SP2 ja uudemmat

    Vaikutus: väliintulohyökkäys saattoi mahdollistaa mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin tavassa käyttää libxslt:tä oli määritysongelma. Kun iTunes Storea selattiin iTunesin kautta, väliintulohyökkäys saattoi mahdollistaa mielivaltaisten tiedostojen luomisen käyttäjän etuoikeuksilla, mikä saattoi mahdollistaa mielivaltaisen koodin suorittamisen. Tämä ongelma on korjattu parantamalla libxslt:n turva-asetuksia.

    CVE-ID

    CVE-2011-1774: Nicolas Gregoire (Agarri)

Tärkeää: Maininta kolmansien osapuolten verkkosivustoista ja tuotteista on tarkoitettu vain tiedotustarkoituksiin, eikä sitä tule ymmärtää suosituksena. Apple ei ole vastuussa kolmansien osapuolten verkkosivustoilla olevien tietojen tai tuotteiden valinnasta, suorituskyvystä tai käytöstä. Apple tarjoaa tämän käyttäjille vain tiedotustarkoituksiin. Apple ei ole testannut näillä sivustoilla olevia tietoja eikä ole vastuussa niiden tarkkuudesta tai luotettavuudesta. Internetissä olevien tietojen tai tuotteiden käyttöön liittyy riskejä, eikä Apple ole vastuussa niiden käyttöön liittyvistä riskeistä. Huomaa, että kolmannen osapuolen sivusto on riippumaton Applesta eikä Apple voi hallita kyseisen sivuston sisältöä. Lisätietoja saat toimittajalta.

Julkaisupäivämäärä: