Ten artykuł został zarchiwizowany i nie jest już aktualizowany przez firmę Apple.

Zawartość związana z zabezpieczeniami w aplikacji iTunes 10.5

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w aplikacji iTunes 10.5.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, które ułatwiają uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

iTunes 10.5

  • CoreFoundation

    Dostępne dla: systemów Windows 7, Vista, XP SP2 lub nowszych.

    Zagrożenie: osoba atakująca metodą „man-in-the-middle” może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi tokenizacji ciągów występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem nie występuje na komputerach z systemem OS X Lion. W przypadku systemów Mac OS X 10.6 ten problem został rozwiązany w uaktualnieniu zabezpieczeń 2011-006.

    Identyfikator CVE

    CVE-2011-0259: Apple.

  • ColorSync

    Dostępne dla: systemów Windows 7, Vista, XP SP2 lub nowszych.

    Zagrożenie: wyświetlanie specjalnie spreparowanego obrazu z osadzonym profilem ColorSync może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: przepełnienie całkowitoliczbowe w obsłudze obrazów z osadzonym profilem ColorSync może prowadzić do przepełnienia buforu sterty. Otwarcie złośliwie spreparowanego obrazu z osadzonym profilem ColorSync może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. Ten problem nie występuje na komputerach z systemem OS X Lion.

    Identyfikator CVE

    CVE-2011-0200: binaryproof w ramach programu Zero Day Initiative firmy TippingPoint.

  • CoreAudio

    Dostępne dla: systemów Windows 7, Vista, XP SP2 lub nowszych.

    Zagrożenie: odtworzenie złośliwie spreparowanej zawartości audio może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w procedurze obsługi strumienia audio zakodowanego przy użyciu zaawansowanego kodu audio występowało przepełnienie buforu. Ten problem nie występuje na komputerach z systemem OS X Lion.

    Identyfikator CVE

    CVE-2011-3252: Luigi Auriemma w ramach programu Zero Day Initiative firmy TippingPoint.

  • CoreMedia

    Dostępne dla: systemów Windows 7, Vista, XP SP2 lub nowszych.

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi plików filmów z kodowaniem H.264 występowało przepełnienie buforu. W przypadku komputerów z systemem OS X Lion ten problem rozwiązano w systemie OS X Lion 10.7.2. W przypadku komputerów z systemem Mac OS X 10.6 ten problem rozwiązano w uaktualnieniu zabezpieczeń 2011-006.

    Identyfikator CVE

    CVE-2011-3219: Damian Put w ramach programu Zero Day Initiative firmy TippingPoint.

  • ImageIO

    Dostępne dla: systemów Windows 7, Vista, XP SP2 lub nowszych.

    Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu TIFF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi obrazów TIFF przez pakiet ImageIO występowało przepełnienie buforu sterty. Ten problem nie występuje na komputerach z systemem OS X Lion. W przypadku komputerów z systemem Mac OS X 10.6 ten problem rozwiązano w systemie Mac OS X 10.6.8.

    Identyfikator CVE

    CVE-2011-0204: Dominic Chell z NGS Secure.

  • ImageIO

    Dostępne dla: systemów Windows 7, Vista, XP SP2 lub nowszych.

    Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu TIFF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi obrazów TIFF przez bibliotekę ImageIO występował błąd współbieżności. Ten problem nie występuje na komputerach z systemem Mac OS X.

    Identyfikator CVE

    CVE-2011-0215: Juan Pablo Lopez Yacubian we współpracy z iDefense VCP.

  • WebKit

    Dostępne dla: systemów Windows 7, Vista, XP SP2 lub nowszych

    Osoba atakująca metodą „man-in-the-middle” w czasie, gdy użytkownik przegląda sklep iTunes Store za pośrednictwem aplikacji iTunes, może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w oprogramowaniu WebKit występowało kilka błędów powodujących uszkodzenie zawartości pamięci.

    Identyfikator CVE

    CVE-2010-1823: David Weston z Microsoft i Microsoft Vulnerability Research (MSVR), wushi z team509 oraz Yong Li z Research In Motion Ltd.

    CVE-2011-0164: Apple.

    CVE-2011-0218: SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome.

    CVE-2011-0221: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome.

    CVE-2011-0222: Nikita Tarakanov i Alex Bazhanyuk z CISS Research Team oraz Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome.

    CVE-2011-0223: Jose A. Vazquez z spa-s3c.blogspot.com we współpracy z iDefense VCP.

    CVE-2011-0225: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome.

    CVE-2011-0232: J23 w ramach programu Zero Day Initiative firmy TippingPoint.

    CVE-2011-0233: wushi z team509 w ramach programu Zero Day Initiative firmy TippingPoint.

    CVE-2011-0234: Rob King w ramach programu Zero Day Initiative firmy TippingPoint, wushi z team509 w ramach programu Zero Day Initiative firmy TippingPoint, wushi z team509 we współpracy z iDefense VCP.

    CVE-2011-0235: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome.

    CVE-2011-0237: wushi z team509 we współpracy z iDefense VCP.

    CVE-2011-0238: SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome.

    CVE-2011-0240: wushi z team509 we współpracy z iDefense VCP.

    CVE-2011-0253: Richard Keen.

    CVE-2011-0254: anonimowy badacz w ramach programu Zero Day Initiative firmy HP.

    CVE-2011-0255: anonimowy badacz w ramach programu Zero Day Initiative firmy HP.

    CVE-2011-0981: Rik Cabanier z Adobe Systems, Inc.

    CVE-2011-0983: Martin Barbella.

    CVE-2011-1109: Sergey Glazunov.

    CVE-2011-1114: Martin Barbella.

    CVE-2011-1115: Martin Barbella.

    CVE-2011-1117: wushi z team509.

    CVE-2011-1121: miaubiz.

    CVE-2011-1188: Martin Barbella.

    CVE-2011-1203: Sergey Glazunov.

    CVE-2011-1204: Sergey Glazunov.

    CVE-2011-1288: Andreas Kling z Nokia.

    CVE-2011-1293: Sergey Glazunov.

    CVE-2011-1296: Sergey Glazunov.

    CVE-2011-1440: Jose A. Vazquez z spa-s3c.blogspot.com.

    CVE-2011-1449: Marek Majkowski.

    CVE-2011-1451: Sergey Glazunov.

    CVE-2011-1453: wushi z team509 w ramach programu Zero Day Initiative firmy TippingPoint.

    CVE-2011-1457: John Knottenbelt z Google.

    CVE-2011-1462: wushi z team509.

    CVE-2011-1797: wushi z team509.

    CVE-2011-2338: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu AddressSanitizer.

    CVE-2011-2339: Cris Neckar z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome.

    CVE-2011-2341: Apple.

    CVE-2011-2351: miaubiz.

    CVE-2011-2352: Apple.

    CVE-2011-2354: Apple.

    CVE-2011-2356: Adam Barth i Abhishek Arya z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu AddressSanitizer.

    CVE-2011-2359: miaubiz.

    CVE-2011-2788: Mikołaj Małecki z Samsung.

    CVE-2011-2790: miaubiz.

    CVE-2011-2792: miaubiz.

    CVE-2011-2797: miaubiz.

    CVE-2011-2799: miaubiz.

    CVE-2011-2809: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome.

    CVE-2011-2811: Apple.

    CVE-2011-2813: Cris Neckar z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu AddressSanitizer.

    CVE-2011-2814: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu AddressSanitizer.

    CVE-2011-2815: SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome.

    CVE-2011-2816: Apple.

    CVE-2011-2817: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu AddressSanitizer.

    CVE-2011-2818: Martin Barbella.

    CVE-2011-2820: Raman Tenneti i Philip Rogers z Google.

    CVE-2011-2823: SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome.

    CVE-2011-2827: miaubiz.

    CVE-2011-2831: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu AddressSanitizer.

    CVE-2011-3232: Aki Helin z OUSPG.

    CVE-2011-3233: Sadrul Habib Chowdhury ze społeczności programistycznej Chromium, Cris Neckar i Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu AddressSanitizer.

    CVE-2011-3234: miaubiz.

    CVE-2011-3235 : Dimitri Glazkov, Kent Tamura, Dominic Cooney ze społeczności programistycznej Chromium i Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome.

    CVE-2011-3236: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu AddressSanitizer.

    CVE-2011-3237 : Dimitri Glazkov, Kent Tamura, Dominic Cooney ze społeczności programistycznej Chromium i Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome.

    CVE-2011-3238: Martin Barbella.

    CVE-2011-3239 : Sławomir Blazek.

    CVE-2011-3241: Apple.

    CVE-2011-3244: vkouchna.

  • WebKit

    Dostępne dla: systemów Windows 7, Vista, XP SP2 lub nowszych.

    Zagrożenie: atak metodą „man-in-the-middle” może doprowadzić do wykonania dowolnego kodu.

    Opis: w korzystaniu z biblioteki libxslt przez WebKit występował problem konfiguracyjny. Osoba atakująca metodą „man-in-the-middle” w czasie, gdy użytkownik przegląda sklep iTunes Store za pośrednictwem aplikacji iTunes, może spowodować utworzenie dowolnych plików z uprawnieniami użytkownika, co może skutkować wykonaniem dowolnego kodu. Ten problem rozwiązano przez ulepszenie ustawień zabezpieczeń biblioteki libxslt.

    Identyfikator CVE

    CVE-2011-1774: Nicolas Gregoire z Agarri.

Ważne: wzmianka o witrynach internetowych i produktach osób trzecich ma charakter wyłącznie informacyjny i nie stanowi rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności w związku z wyborem, działaniem lub korzystaniem z informacji lub produktów znalezionych w witrynach internetowych osób trzecich. Apple podaje je tylko jako udogodnienie dla naszych użytkowników. Firma Apple nie przetestowała informacji znalezionych w tych witrynach i nie składa żadnych oświadczeń dotyczących ich dokładności lub wiarygodności. Korzystanie z jakichkolwiek informacji lub produktów znalezionych w Internecie wiąże się z ryzykiem, a Apple nie ponosi żadnej odpowiedzialności w tym zakresie. Należy pamiętać, że witryna osoby trzeciej jest niezależna od Apple i że Apple nie ma kontroli nad zawartością tej witryny. Dodatkowe informacje można uzyskać, kontaktując się z dostawcą.

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: