iTunes 10.5 のセキュリティコンテンツについて

iTunes 10.5 のセキュリティコンテンツについて説明します。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、こちらを参照してください。

Apple Product Security PGP キーについてはこちらの記事を参照してください。

CVE ID を使って脆弱性を調べることもできます。

その他のセキュリティアップデートについては、こちらの記事を参照してください。

iTunes 10.5

  • CoreFoundation

    対象となるバージョン:Windows 7、Vista、XP SP2 以降

    影響:中間者攻撃により、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。

    説明:文字列のトークン化の処理に、メモリ破損の原因となる問題があります。この問題は OS X Lion システムでは発生しません。Mac OS X v10.6 システムについては、セキュリティアップデート 2011-006 で問題が解決されています。

    CVE-ID

    CVE-2011-0259:Apple

  • ColorSync

    対象となるバージョン:Windows 7、Vista、XP SP2 以降

    影響:悪意を持って作成された、ColorSync プロファイルが埋め込まれている画像を表示すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    説明:ColorSync プロファイルが埋め込まれている画像の処理での整数のオーバーフローが原因で、ヒープバッファがオーバーフローする可能性があります。悪意を持って作成された、ColorSync プロファイルが埋め込まれている画像を開くと、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性があります。この問題は OS X Lion システムでは発生しません。

    CVE-ID

    CVE-2011-0200:TippingPoint 社の Zero Day Initiative に協力する binaryproof 氏

  • CoreAudio

    対象となるバージョン:Windows 7、Vista、XP SP2 以降

    影響:悪意を持って作成されたオーディオコンテンツを再生すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    説明:AAC エンコードされたオーディオストリームの処理に、バッファオーバーフローの問題が存在します。この問題は OS X Lion システムでは発生しません。

    CVE-ID

    CVE-2011-3252:TippingPoint 社の Zero Day Initiative に協力する Luigi Auriemma 氏

  • CoreMedia

    対象となるバージョン:Windows 7、Vista、XP SP2 以降

    影響:悪意を持って作成されたムービーファイルを表示すると、アプリケーションが予期せず終了したり任意のコードが実行されたりする可能性がある。

    説明:H.264 エンコードされたムービーファイルの処理でバッファオーバーフローが引き起こされる可能性があります。OS X Lion システムについては OS X Lion v10.7.2 で、Mac OS X v10.6 システムについてはセキュリティアップデート 2011-006 で、この問題が解決されています。

    CVE-ID

    CVE-2011-3219:TippingPoint の Zero Day Initiative に協力する Damian Put 氏

  • ImageIO

    対象となるバージョン:Windows 7、Vista、XP SP2 以降

    影響:悪意を持って作成された TIFF 画像を表示すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。

    説明:ImageIO による TIFF 画像の処理で、ヒープバッファオーバーフローが引き起こされる可能性があります。この問題は OS X Lion システムでは発生しません。Mac OS X v10.6 システムについては、Mac OS X v10.6.8 でこの問題が解決されています。

    CVE-ID

    CVE-2011-0204:NGS Secure の Dominic Chell 氏

  • ImageIO

    対象となるバージョン:Windows 7、Vista、XP SP2 以降

    影響:悪意を持って作成された TIFF 画像を表示すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。

    説明:ImageIO による TIFF 画像の処理に、リエントラント性に関する脆弱性が存在します。この問題は Mac OS X システムでは発生しません。

    CVE-ID

    CVE-2011-0215:iDefense VCP に協力する Juan Pablo Lopez Yacubian 氏

  • WebKit

    対象となるバージョン:Windows 7、Vista、XP SP2 以降

    影響:iTunes から iTunes Store を閲覧するときの中間者攻撃によってアプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。

    説明:WebKit に複数のメモリ破損の脆弱性がありました。

    CVE-ID

    CVE-2010-1823:Microsoft および Microsoft Vulnerability Research (MSVR) の David Weston 氏、team509 の wushi 氏、Research In Motion Ltd の Yong Li 氏

    CVE-2011-0164:Apple

    CVE-2011-0218:Google Chrome Security Team の SkyLined 氏

    CVE-2011-0221:Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

    CVE-2011-0222:CISS リサーチチームの Nikita Tarakanov 氏および Alex Bazhanyuk 氏、Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

    CVE-2011-0223:iDefense VCP と協力する spa-s3c.blogspot.com の Jose A. Vazquez 氏

    CVE-2011-0225:Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

    CVE-2011-0232:TippingPoint の Zero Day Initiative に協力する J23 氏

    CVE-2011-0233:TippingPoint の Zero Day Initiative に協力する team509 の wushi 氏

    CVE-2011-0234:TippingPoint 社の Zero Day Initiative に協力する Rob King 氏、TippingPoint 社の Zero Day Initiative に協力する team509 の wushi 氏、および iDefense VCP に協力する team509 の wushi 氏

    CVE-2011-0235:Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

    CVE-2011-0237:iDefense VCP に協力する team509 の wushi 氏

    CVE-2011-0238:Google Chrome Security Team の Adam Barth 氏

    CVE-2011-0240:iDefense VCP に協力する team509 の wushi 氏

    CVE-2011-0253:Richard Keen 氏

    CVE-2011-0254:TippingPoint の Zero Day Initiative に協力する匿名の研究者

    CVE-2011-0255:TippingPoint 社の Zero Day Initiative に協力する匿名の研究者

    CVE-2011-0981:Adobe Systems, Inc の Rik Cabanier 氏

    CVE-2011-0983:Martin Barbella 氏

    CVE-2011-1109:Sergey Glazunov 氏

    CVE-2011-1114:Martin Barbella 氏

    CVE-2011-1115:Martin Barbella 氏

    CVE-2011-1117:team509 の wushi 氏

    CVE-2011-1121:miaubiz 氏

    CVE-2011-1188:Martin Barbella 氏

    CVE-2011-1203:Sergey Glazunov 氏

    CVE-2011-1204:Sergey Glazunov 氏

    CVE-2011-1288:Nokia 社の Andreas Kling 氏

    CVE-2011-1293:Sergey Glazunov 氏

    CVE-2011-1296:Sergey Glazunov 氏

    CVE-2011-1440:spa-s3c.blogspot.com の Jose A. Vazquez 氏

    CVE-2011-1449:Marek Majkowski 氏

    CVE-2011-1451:Sergey Glazunov 氏

    CVE-2011-1453:TippingPoint の Zero Day Initiative に協力する team509 の wushi 氏

    CVE-2011-1457:Google の John Knottenbelt 氏

    CVE-2011-1462:team509 の wushi 氏

    CVE-2011-1797:team509 の wushi 氏

    CVE-2011-2338:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

    CVE-2011-2339:Google Chrome Security Team の Cris Neckar 氏

    CVE-2011-2341:Apple

    CVE-2011-2351:miaubiz 氏

    CVE-2011-2352:Apple

    CVE-2011-2354:Apple

    CVE-2011-2356:AddressSanitizer を使用する Google Chrome Security Team の Adam Barth 氏および Abhishek Arya 氏

    CVE-2011-2359:miaubiz 氏

    CVE-2011-2788:Samsung の Mikolaj Malecki 氏

    CVE-2011-2790:miaubiz 氏

    CVE-2011-2792:miaubiz 氏

    CVE-2011-2797:miaubiz 氏

    CVE-2011-2799:miaubiz 氏

    CVE-2011-2809:Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

    CVE-2011-2811:Apple

    CVE-2011-2813:AddressSanitizer を使用する Google Chrome Security Team の Cris Neckar 氏

    CVE-2011-2814:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

    CVE-2011-2815:Google Chrome Security Team の SkyLined 氏

    CVE-2011-2816:Apple

    CVE-2011-2817:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

    CVE-2011-2818:Martin Barbella 氏

    CVE-2011-2820:Google の Raman Tenneti 氏および Philip Rogers 氏

    CVE-2011-2823:Google Chrome Security Team の SkyLined 氏

    CVE-2011-2827:miaubiz 氏

    CVE-2011-2831:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

    CVE-2011-3232:OUSPG の Aki Helin 氏

    CVE-2011-3233:Chromium development community の Sadrul Habib Chowdhury 氏、Google Chrome Security Team の Cris Neckar 氏、および Abhishek Arya 氏 (Inferno)

    CVE-2011-3234:miaubiz 氏

    CVE-2011-3235:Chromium development community の Dimitri Glazkov 氏、Kent Tamura 氏、Dominic Cooney 氏、および Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

    CVE-2011-3236:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

    CVE-2011-3237:Chromium development community の Dimitri Glazkov 氏、Kent Tamura 氏、Dominic Cooney 氏、および Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

    CVE-2011-3238:Martin Barbella 氏

    CVE-2011-3239:Slawomir Blazek 氏

    CVE-2011-3241:Apple

    CVE-2011-3244:vkouchna 氏

  • WebKit

    対象となるバージョン:Windows 7、Vista、XP SP2 以降

    影響:中間者攻撃により、任意のコードが実行される可能性がある。

    説明:WebKit による libxslt の使用において、構成にかかわる脆弱性がありました。iTunes から iTunes Store を閲覧するときの中間者攻撃により、ユーザの権限で任意のファイルが作成され、任意のコードが実行される可能性があります。libxslt のセキュリティ設定を改善し、この問題に対処しました。

    CVE-ID

    CVE-2011-1774:Agarri の Nicolas Gregoire 氏

重要:他社の Web サイトや製品に関する情報は、情報提供の目的でのみ記載されているものであり、これを支持または推奨するものではありません。Apple は、他社の Web サイトに掲載されている情報や製品の選択、性能、使用については一切責任を負いません。Apple は、お客様の便宜目的にのみ、これらの情報を提供するものであり、他社の Web サイトに掲載されている情報については審査しておらず、その正確性や信頼性については一切保証しておりません。インターネット上のあらゆる情報や製品の使用には本来リスクが伴うものであり、この点に関して Apple はいかなる責任も負いません。他社のサイトはそれぞれ独自に運営されており、Apple が他社の Web サイトの内容を管理しているわけではないことをご理解ください。詳しくは、各社にお問い合わせください。

公開日: