Over de beveiligingsinhoud van iTunes 10.2

In dit document wordt de beveiligingsinhoud van iTunes 10.2 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple beveiligingsreleases voor meer informatie over andere beveiligingsupdates.

iTunes 10.2

• ImageIO

  Beschikbaar voor: Windows 7, Vista, XP SP2 of nieuwer

  Impact: meerdere kwetsbaarheden in libpng

  Beschrijving: libpng is bijgewerkt naar versie 1.4.3 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste kan leiden tot het uitvoeren van willekeurige code. Voor systemen met Mac OS X v10.5 wordt dit verholpen in beveiligingsupdate 2010-007. Meer informatie is beschikbaar via de libpng-website op http://www.libpng.org/pub/png/libpng.html

  CVE-ID

  CVE-2010-1205

  CVE-2010-2249

• ImageIO

  Beschikbaar voor: Windows 7, Vista, XP SP2 of nieuwer

  Impact: het bekijken van een kwaadwillig vervaardigde JPEG-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was sprake van een heapbufferoverloop bij de verwerking van JPEG-afbeeldingen door ImageIO. Het bekijken van een kwaadwillig vervaardigde JPEG-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code.

  CVE-ID

  CVE-2011-0170: Andrzej Dyjak in samenwerking met iDefense VCP

• ImageIO

  Beschikbaar voor: Windows 7, Vista, XP SP2 of nieuwer

  Impact: het bekijken van een kwaadwillig vervaardigde XBM-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was een probleem met een overloop bij gehele getallen bij de verwerking van XBM-afbeeldingen door ImageIO. Het bekijken van een kwaadwillig vervaardigde XBM-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code.

  CVE-ID

  CVE-2011-0181: Harry Sintonen

• ImageIO

  Beschikbaar voor: Windows 7, Vista, XP SP2 of nieuwer

  Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot een onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was sprake van een bufferoverloop bij de verwerking van JPEG-gecodeerde TIFF-bestanden door libTIFF. Het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code.

  CVE-ID

  CVE-2011-0191: Apple

• ImageIO

  Beschikbaar voor: Windows 7, Vista, XP SP2 of nieuwer

  Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot een onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was sprake van een bufferoverloop bij de verwerking van CCITT Group 4-gecodeerde TIFF-bestanden door libTIFF. Het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code.

  CVE-ID

  CVE-2011-0192: Apple

• libxml

  Beschikbaar voor: Windows 7, Vista, XP SP2 of nieuwer

  Impact: het verwerken van een kwaadwillig vervaardigd XML-bestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was een double free-probleem bij de verwerking van XPath-expressies door libxml. Het verwerken van een kwaadwillig vervaardigd XML-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

  CVE-ID

  CVE-2010-4494: Yang Dingning van NCNIPC, Graduate University of Chinese Academy of Sciences

• libxml

  Beschikbaar voor: Windows 7, Vista, XP SP2 of nieuwer

  Impact: het verwerken van een kwaadwillig vervaardigd XML-bestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van XPath door libxml. Het verwerken van een kwaadwillig vervaardigd XML-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

  CVE-ID

  CVE-2010-4008: Bui Quang Minh van Bkis (www.bkis.com)

• WebKit

  Beschikbaar voor: Windows 7, Vista, XP SP2 of nieuwer

  Impact: een 'man-in-the-middle'-aanval kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

  Beschrijving: er zijn meerdere problemen met geheugenbeschadiging in WebKit. Een 'man-in-the-middle'-aanval bij het navigeren in de iTunes Store via iTunes kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

  CVE-ID

  CVE-2010-1824: kuzzcc en wushi van team509 in samenwerking met het Zero Day Initiative van TippingPoint

  CVE-2011-0111: Sergey Glazunov

  CVE-2011-0112: Yuzo Fujishima van Google Inc.

  CVE-2011-0113: Andreas Kling van Nokia

  CVE-2011-0114: Chris Evans van het Google Chrome Security Team

  CVE-2011-0115: J23 in samenwerking met het Zero Day Initiative van TippingPoint en Emil A Eklund van Google, Inc

  CVE-2011-0116: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint

  CVE-2011-0117: Abhishek Arya (Inferno) van Google, Inc.

  CVE-2011-0118: Abhishek Arya (Inferno) van Google, Inc.

  CVE-2011-0119: Abhishek Arya (Inferno) van Google, Inc.

  CVE-2011-0120: Abhishek Arya (Inferno) van Google, Inc.

  CVE-2011-0121: Abhishek Arya (Inferno) van Google, Inc.

  CVE-2011-0122: Slawomir Blazek

  CVE-2011-0123: Abhishek Arya (Inferno) van Google, Inc.

  CVE-2011-0124: Yuzo Fujishima van Google Inc.

  CVE-2011-0125: Abhishek Arya (Inferno) van Google, Inc.

  CVE-2011-0126: Mihai Parparita van Google, Inc.

  CVE-2011-0127: Abhishek Arya (Inferno) van Google, Inc.

  CVE-2011-0128: David Bloom

  CVE-2011-0129: Famlam

  CVE-2011-0130: Apple

  CVE-2011-0131: wushi van team509

  CVE-2011-0132: wushi van team509 in samenwerking met het Zero Day Initiative van TippingPoint

  CVE-2011-0133: wushi van team509 in samenwerking met het Zero Day Initiative van TippingPoint

  CVE-2011-0134: Jan Tosovsky

  CVE-2011-0135: een anonieme melder

  CVE-2011-0136: Sergey Glazunov

  CVE-2011-0137: Sergey Glazunov

  CVE-2011-0138: kuzzcc

  CVE-2011-0139: kuzzcc

  CVE-2011-0140: Sergey Glazunov

  CVE-2011-0141: Chris Rohlf van Matasano Security

  CVE-2011-0142: Abhishek Arya (Inferno) van Google, Inc.

  CVE-2011-0143: Slawomir Blazek en Sergey Glazunov

  CVE-2011-0144: Emil A Eklund van Google, Inc.

  CVE-2011-0145: Abhishek Arya (Inferno) van Google, Inc.

  CVE-2011-0146: Abhishek Arya (Inferno) van Google, Inc.

  CVE-2011-0147: Dirk Schulze

  CVE-2011-0148: Michal Zalewski van Google, Inc.

  CVE-2011-0149: wushi van team509 in samenwerking met het Zero Day Initiative van TippingPoint en SkyLined van het Google Chrome Security Team

  CVE-2011-0150: Michael Gundlach van safariadblock.com

  CVE-2011-0151: Abhishek Arya (Inferno) van Google, Inc.

  CVE-2011-0152: SkyLined van het Google Chrome Security Team

  CVE-2011-0153: Abhishek Arya (Inferno) van Google, Inc.

  CVE-2011-0154: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint

  CVE-2011-0155: Aki Helin van OUSPG

  CVE-2011-0156: Abhishek Arya (Inferno) van Google, Inc.

  CVE-2011-0165: Sergey Glazunov

  CVE-2011-0168: Sergey Glazunov