Informazioni sui contenuti di sicurezza di iTunes 10.5
In questo documento vengono descritti i contenuti di sicurezza di iTunes 10.5.
Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un’indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.
Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.
Per informazioni sugli altri aggiornamenti di sicurezza, consulta Aggiornamenti di sicurezza di Apple.
iTunes 10.5
CoreFoundation
Disponibile per: Windows 7, Vista, XP SP2 o versioni successive.
Impatto: un attacco man-in-the-middle può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si è verificato un problema di danneggiamento della memoria nella gestione della tokenizzazione delle stringhe. Questo problema non interessa i sistemi OS X Lion Per i sistemi Mac OS X 2011, questo problema è stato risolto con l'aggiornamento di sicurezza 2011-006.
CVE-ID
CVE-2011-0259: Apple.
ColorSync
Disponibile per: Windows 7, Vista, XP SP2 o versioni successive.
Impatto: la visualizzazione di un’immagine pericolosa con un profilo ColorSync incorporato può causare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario.
Descrizione: si verifica un overflow di numeri interi nella gestione di immagini con un profilo ColorSync incorporato, che può causare un overflow del buffer di heap. L'apertura di un'immagine pericolosa con un profilo ColorSync incorporato può causare una chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario. Questo problema non interessa i sistemi OS X Lion
CVE-ID
CVE-2011-0200: binaryproof in collaborazione con Zero Day Initiative di TippingPoint.
CoreAudio
Disponibile per: Windows 7, Vista, XP SP2 o versioni successive.
Impatto: la riproduzione di contenuti audio dannosi può causare la chiusura inaspettata dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si è verificato un overflow del buffer nella gestione di audio in streaming codificato con un codice audio avanzato. Questo problema non interessa i sistemi OS X Lion
CVE-ID
CVE-2011-3252: Luigi Auriemma, in collaborazione con Zero Day Initiative di TippingPoint.
CoreMedia
Disponibile per: Windows 7, Vista, XP SP2 o versioni successive.
Impatto: la visualizzazione di un file video dannoso potrebbe provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verifica un overflow del buffer nella gestione dei filmati codificati come H.264. Per i sistemi OS X Lion, questo problema è stato risolto in OS X Lion 10.7.2. Per i sistemi Mac OS X 10.6, questo problema è stato risolto con l'aggiornamento di sicurezza 2011-006.
CVE-ID
CVE-2011-3219: Damian Put, in collaborazione con Zero Day Initiative di TippingPoint.
ImageIO
Disponibile per: Windows 7, Vista, XP SP2 o versioni successive.
Impatto: la visualizzazione di un’immagine TIFF pericolosa potrebbe causare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario.
Descrizione: si verifica un overflow del buffer di heap nella gestione delle immagini TIFF da parte di ImageIO. Questo problema non interessa i sistemi OS X Lion Per i sistemi con Mac OS X 10.6, questo problema è stato risolto con Mac OS X 10.6.8.
CVE-ID
CVE-2011-0204: Dominic Chell di NGS Secure.
ImageIO
Disponibile per: Windows 7, Vista, XP SP2 o versioni successive.
Impatto: la visualizzazione di un’immagine TIFF pericolosa potrebbe causare la chiusura improvvisa delle applicazioni o l’esecuzione di codice arbitrario.
Description: si è verificato un problema di rientranza nella gestione delle immagini TIFF da parte di ImageIO. Il problema non interessa i sistemi Mac OS X.
CVE-ID
CVE-2011-0215: Juan Pablo Lopez Yacubian in collaborazione con iDefense VCP.
WebKit
Disponibile per: Windows 7, Vista, XP SP2 o versioni successive
Impatto: un attacco man-in-the-middle durante la navigazione nell'iTunes Store tramite iTunes può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificavano diversi problemi di danneggiamento della memoria in WebKit,
CVE-ID
CVE-2010-1823: David Weston di Microsoft e Microsoft Vulnerability Research (MSVR), wushi di team509 e Yong Li di Research In Motion Ltd.
CVE-2011-0164: Apple.
CVE-2011-0218: SkyLined di Google Chrome Security Team.
CVE-2011-0221: Abhishek Arya (Inferno) di Google Chrome Security Team.
CVE-2011-0222: Nikita Tarakanov e Alex Bazhanyuk di CISS Research Team e Abhishek Arya (Inferno) di Google Chrome Security Team.
CVE-2011-0223: Jose A. Vazquez di spa-s3c.blogspot.com in collaborazione con iDefense VCP.
CVE-2011-0225: Abhishek Arya (Inferno) di Google Chrome Security Team.
CVE-2011-0232: J23 in collaborazione con Zero Day Initiative di TippingPoint.
CVE-2011-0233: wushi di team509 in collaborazione con Zero Day Initiative di TippingPoint.
CVE-2011-0234: Rob King in collaborazione con Zero Day Initiative di TippingPoint, wushi di team509 in collaborazione con Zero Day Initiative di TippingPoint, wushi di team509 in collaborazione con iDefense VCP.
CVE-2011-0235: Abhishek Arya (Inferno) di Google Chrome Security Team.
CVE-2011-0237: wushi di team509 in collaborazione con iDefense VCP.
CVE-2011-0238: Adam Barth di Google Chrome Security Team.
CVE-2011-0240: wushi di team509 in collaborazione con iDefense VCP.
CVE-2011-0253: Richard Keen.
CVE-2011-0254: un ricercatore anonimo in collaborazione con Zero Day Initiative di TippingPoint.
CVE-2011-0255: un ricercatore anonimo in collaborazione con Zero Day Initiative di TippingPoint.
CVE-2011-0981: Rik Cabanier di Adobe Systems, Inc.
CVE-2011-0983: Martin Barbella.
CVE-2011-1109: Sergey Glazunov.
CVE-2011-1114: Martin Barbella.
CVE-2011-1115: Martin Barbella.
CVE-2011-1117: wushi di team509.
CVE-2011-1121: miaubiz.
CVE-2011-1188: Martin Barbella.
CVE-2011-1203: Sergey Glazunov.
CVE-2011-1204: Sergey Glazunov.
CVE-2011-1288: Andreas Kling di Nokia.
CVE-2011-1293: Sergey Glazunov.
CVE-2011-1296: Sergey Glazunov.
CVE-2011-1440: Jose A. Vazquez di spa-s3c.blogspot.com.
CVE-2011-1449: Marek Majkowski.
CVE-2011-1451: Sergey Glazunov.
CVE-2011-1453: wushi di team509 in collaborazione con Zero Day Initiative di TippingPoint.
CVE-2011-1457: John Knottenbelt di Google.
CVE-2011-1462: wushi di team509.
CVE-2011-1797: wushi di team509.
CVE-2011-2338: Abhishek Arya (Inferno) di Google Chrome Security Team con l'uso di AddressSanitizer.
CVE-2011-2339: Cris Neckar di Google Chrome Security Team.
CVE-2011-2341: Apple.
CVE-2011-2351: miaubiz.
CVE-2011-2352: Apple.
CVE-2011-2354: Apple.
CVE-2011-2356: Adam Barth e Abhishek Arya di Google Chrome Security Team con l'uso di AddressSanitizer.
CVE-2011-2359: miaubiz.
CVE-2011-2788: Mikolaj Malecki di Samsung.
CVE-2011-2790: miaubiz.
CVE-2011-2792: miaubiz.
CVE-2011-2797: miaubiz.
CVE-2011-2799: miaubiz.
CVE-2011-2809: Abhishek Arya (Inferno) di Google Chrome Security Team.
CVE-2011-2811: Apple.
CVE-2011-2813: Cris Neckar di Google Chrome Security Team con l'uso di AddressSanitizer.
CVE-2011-2814: Abhishek Arya (Inferno) di Google Chrome Security Team con l'uso di AddressSanitizer.
CVE-2011-2815: SkyLined di Google Chrome Security Team.
CVE-2011-2816: Apple.
CVE-2011-2817: Abhishek Arya (Inferno) di Google Chrome Security Team con l'uso di AddressSanitizer.
CVE-2011-2818: Martin Barbella.
CVE-2011-2820: Raman Tenneti e Philip Rogers di Google.
CVE-2011-2823: SkyLined di Google Chrome Security Team.
CVE-2011-2827: miaubiz.
CVE-2011-2831: Abhishek Arya (Inferno) di Google Chrome Security Team con l'uso di AddressSanitizer.
CVE-2011-3232: Aki Helin di OUSPG.
CVE-2011-3233: Sadrul Habib Chowdhury di Chromium development community, Cris Neckar e Abhishek Arya (Inferno) di Google Chrome Security Team.
CVE-2011-3234: miaubiz.
CVE-2011-3235: Dimitri Glazkov, Kent Tamura, Dominic Cooney di Chromium development community e Abhishek Arya (Inferno) di Google Chrome Security Team.
CVE-2011-3236: Abhishek Arya (Inferno) di Google Chrome Security Team con l'uso di AddressSanitizer.
CVE-2011-3237: Dimitri Glazkov, Kent Tamura, Dominic Cooney di Chromium development community e Abhishek Arya (Inferno) di Google Chrome Security Team.
CVE-2011-3238: Martin Barbella.
CVE-2011-3239: Slawomir Blazek.
CVE-2011-3241: Apple.
CVE-2011-3244: vkouchna.
WebKit
Disponibile per: Windows 7, Vista, XP SP2 o versioni successive.
Impatto: un attacco man-in-the-middle può causare l'esecuzione di codice arbitrario.
Descrizione: si è verificato un problema di configurazione nell'uso di libxslt da parte di WebKit. Un attacco man-in-the-middle durante la navigazione nell'iTunes Store tramite iTunes può causare la creazione di file arbitrari con i privilegi dell'utente e e ciò può causare l'esecuzione di codice arbitrario. Questo problema è stato risolto migliorando le impostazioni di sicurezza di libxslt.
CVE-ID
CVE-2011-1774: Nicolas Gregoire di Agarri.
Importante: il riferimento a siti web e prodotti di terze parti ha scopo puramente informativo e non costituisce sponsorizzazione né consiglio. Apple non si assume alcuna responsabilità in relazione alla selezione, alle prestazioni o all'utilizzo di informazioni o prodotti trovati su siti web di terze parti. Apple fornisce questo tipo di informazioni solo per comodità degli utenti. Apple non ha testato le informazioni che si trovano su tali siti e non ne rappresenta in alcun modo l'esattezza e l'affidabilità. Esistono rischi connessi all'utilizzo di informazioni o prodotti trovati su internet e Apple non si assume alcuna responsabilità al riguardo. Ricordiamo che i siti di terze parti sono indipendenti da Apple e che Apple non ha alcun controllo sui contenuti di tali siti web. Per ulteriori informazioni, contatta il fornitore.