Om sikkerhetsinnholdet i iTunes 10.5

Dette dokumentet beskriver sikkerhetsinnholdet i iTunes 10.5.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.

For å finne ut mer om PGP-nøkkelen fra Apple Produktsikkerhet går du til Slik bruker du PGP-nøkkelen fra Apple Produktsikkerhet.

Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.

For å finne ut mer om andre sikkerhetsoppdateringer går du til Apples sikkerhetsoppdateringer.

iTunes 10.5

  • CoreFoundation

    Tilgjengelig for Windows 7, Vista, XP SP2 og nyere.

    Virkning: Et man-in-the-middle-angrep kan medføre uventet programavslutning eller kjøring av vilkårlig kode.

    Beskrivelse: Det var et problem med minnekorrumpering i håndteringen av strengtokenisering. Dette problemet gjelder ikke OS X Lion-systemer. For Mac OS X v10.6-systemer er dette problemet løst i Sikkerhetsoppdatering 2011-006.

    CVE-ID

    CVE-2011-0259: Apple.

  • ColorSync

    Tilgjengelig for Windows 7, Vista, XP SP2 og nyere.

    Virkning: Åpning av et skadelig bilde med innebygd ColorSync-profil, kan føre til uventet avslutning av et program eller utføring av vilkårlig kode.

    Beskrivelse: Det var heltallsoverflyt i håndteringen av bilder med innebygd ColorSync-profil, noe som kan føre til heap-bufferoverflyt. Åpning av et skadelig bilde med innebygd ColorSync-profil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Dette problemet gjelder ikke OS X Lion-systemer.

    CVE-ID

    CVE-2011-0200: binaryproof i samarbeid med TippingPoints Zero Day Initiative.

  • CoreAudio

    Tilgjengelig for Windows 7, Vista, XP SP2 og nyere.

    Virkning: Avspilling av skadelig lydinnhold kan medføre uventet programavslutning eller kjøring av vilkårlig kode.

    Beskrivelse: Det var en bufferoverflyt i håndteringen av lydstrømmer som er kodet med den avanserte lydkodingen. Dette problemet gjelder ikke OS X Lion-systemer.

    CVE-ID

    CVE-2011-3252: Luigi Auriemma i samarbeid med TippingPoints Zero Day Initiative.

  • CoreMedia

    Tilgjengelig for Windows 7, Vista, XP SP2 og nyere.

    Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode.

    Beskrivelse: Det var en bufferoverflyt i håndteringen av H.264-kodede videofiler. For OS X Lion-systemer løses dette problemet i OS X Lion v10.7.2. For Mac OS X v10.6-systemer løses dette problemet i Sikkerhetsoppdatering 2011-006.

    CVE-ID

    CVE-2011-3219 : Damian Put som arbeider med TippingPoints Zero Day Initiative.

  • ImageIO

    Tilgjengelig for Windows 7, Vista, XP SP2 og nyere.

    Virkning: Visning av et skadelig TIFF-bilde kan føre til uventet avslutning av en app eller utilsiktet kodekjøring.

    Beskrivelse: Det var et problem med heap-bufferoverflyt i ImageIOs håndtering av TIFF-bilder. Dette problemet gjelder ikke OS X Lion-systemer. For Mac OS X v10.6-systemer er dette problemet løst i Mac OS X v10.6.8.

    CVE-ID

    CVE-2011-0204: Dominic Chell fra NGS Secure.

  • ImageIO

    Tilgjengelig for Windows 7, Vista, XP SP2 og nyere.

    Virkning: Visning av et skadelig TIFF-bilde kan føre til uventet avslutning av en app eller utilsiktet kodekjøring.

    Beskrivelse: Det var et problem med gjeninntreden i håndteringen av TIFF-bilder i ImageIO. Problemet berører ikke Mac OS X-systemer.

    CVE-ID

    CVE-2011-0215: Juan Pablo Lopez Yacubian i samarbeid med iDefense VCP.

  • WebKit

    Tilgjengelig for Windows 7, Vista, XP SP2 og nyere

    Virkning: Et man-in-the-middle-angrep under surfing i iTunes Store via iTunes kan medføre uventet programavslutning eller kjøring av vilkårlig kode.

    Beskrivelse: Det var flere problemer med ødelagt minne i WebKit.

    CVE-ID

    CVE-2010-1823: David Weston fra Microsoft og Microsoft Vulnerability Research (MSVR), wushi fra team509 og Yong Li fra Research In Motion Ltd.

    CVE-2011-0164: Apple.

    CVE-2011-0218: SkyLined fra Google Chrome Security Team.

    CVE-2011-0221: Abhishek Arya (Inferno) fra Google Chrome Security Team.

    CVE-2011-0222: Nikita Tarakanov og Alex Bazhanyuk fra CISS Research Team og Abhishek Arya (Inferno) fra Google Chrome Security Team.

    CVE-2011-0223: Jose A. Vazquez fra spa-s3c.blogspot.com i samarbeid med iDefense VCP.

    CVE-2011-0225: Abhishek Arya (Inferno) fra Google Chrome Security Team.

    CVE-2011-0232: J23 i samarbeid med TippingPoints Zero Day Initiative.

    CVE-2011-0233: wushi fra team509 i samarbeid med TippingPoints Zero Day Initiative.

    CVE-2011-0234: Rob King i samarbeid med TippingPoints Zero Day Initiative, wushi fra team509 i samarbeid med TippingPoints Zero Day Initiative og wushi fra team509 i samarbeid med iDefense VCP.

    CVE-2011-0235: Abhishek Arya (Inferno) fra Google Chrome Security Team.

    CVE-2011-0237: wushi fra team509 i samarbeid med iDefense VCP.

    CVE-2011-0238: Adam Barth fra Google Chrome Security Team.

    CVE-2011-0240: wushi fra team509 i samarbeid med iDefense VCP.

    CVE-2011-0253: Richard Keen.

    CVE-2011-0254: en anonym forsker i samarbeid med TippingPoints Zero Day Initiative.

    CVE-2011-0255: en anonym forsker i samarbeid med TippingPoints Zero Day Initiative.

    CVE-2011-0981: Rik Cabanier fra Adobe Systems, Inc.

    CVE-2011-0983: Martin Barbella.

    CVE-2011-1109: Sergey Glazunov.

    CVE-2011-1114: Martin Barbella.

    CVE-2011-1115: Martin Barbella.

    CVE-2011-1117: wushi fra team509.

    CVE-2011-1121: miaubiz.

    CVE-2011-1188: Martin Barbella.

    CVE-2011-1203: Sergey Glazunov.

    CVE-2011-1204: Sergey Glazunov.

    CVE-2011-1288: Andreas Kling fra Nokia.

    CVE-2011-1293: Sergey Glazunov.

    CVE-2011-1296: Sergey Glazunov.

    CVE-2011-1440: Jose A. Vazquez fra spa-s3c.blogspot.com.

    CVE-2011-1449: Marek Majkowski.

    CVE-2011-1451: Sergey Glazunov.

    CVE-2011-1453: wushi fra team509 i samarbeid med TippingPoints Zero Day Initiative.

    CVE-2011-1457: John Knottenbelt fra Google.

    CVE-2011-1462: wushi fra team509.

    CVE-2011-1797: wushi fra team509.

    CVE-2011-2338: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer.

    CVE-2011-2339: Cris Neckar fra Google Chrome Security Team.

    CVE-2011-2341: Apple.

    CVE-2011-2351: miaubiz.

    CVE-2011-2352: Apple.

    CVE-2011-2354: Apple.

    CVE-2011-2356: Adam Barth og Abhishek Arya fra Google Chrome Security Team ved bruk av AddressSanitizer.

    CVE-2011-2359: miaubiz.

    CVE-2011-2788: Mikolaj Malecki fra Samsung.

    CVE-2011-2790: miaubiz.

    CVE-2011-2792: miaubiz.

    CVE-2011-2797: miaubiz.

    CVE-2011-2799: miaubiz.

    CVE-2011-2809: Abhishek Arya (Inferno) fra Google Chrome Security Team.

    CVE-2011-2811: Apple.

    CVE-2011-2813: Cris Neckar fra Google Chrome Security Team ved bruk av AddressSanitizer.

    CVE-2011-2814: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer.

    CVE-2011-2815: SkyLined fra Google Chrome Security Team.

    CVE-2011-2816: Apple.

    CVE-2011-2817: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer.

    CVE-2011-2818: Martin Barbella.

    CVE-2011-2820: Raman Tenneti og Philip Rogers fra Google.

    CVE-2011-2823: SkyLined fra Google Chrome Security Team.

    CVE-2011-2827: miaubiz.

    CVE-2011-2831: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer.

    CVE-2011-3232: Aki Helin fra OUSPG.

    CVE-2011-3233: Sadrul Habib Chowdhury fra Chromium-utviklingsfellesskapet, Cris Neckar og Abhishek Arya (Inferno) fra Google Chrome Security Team.

    CVE-2011-3234: miaubiz.

    CVE-2011-3235: Dimitri Glazkov, Kent Tamura, Dominic Cooney fra Chromium-utviklingsfellesskapet og Abhishek Arya (Inferno) fra Google Chrome Security Team.

    CVE-2011-3236: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer.

    CVE-2011-3237: Dimitri Glazkov, Kent Tamura, Dominic Cooney fra Chromium-utviklingsfellesskapet og Abhishek Arya (Inferno) fra Google Chrome Security Team.

    CVE-2011-3238: Martin Barbella.

    CVE-2011-3239: Slawomir Blazek.

    CVE-2011-3241: Apple.

    CVE-2011-3244: vkouchna.

  • WebKit

    Tilgjengelig for Windows 7, Vista, XP SP2 og nyere.

    Virkning: Et man-in-the-middle-angrep kan medføre kjøring av vilkårlig kode.

    Beskrivelse: Det var et konfigureringsproblem i måten WebKit brukte libxslt på. Et man-in-the-middle-angrep under surfing i iTunes Store via iTunes kan medføre at vilkårlige filer blir opprettet med brukerens rettigheter, noe som kan føre til kjøring av vilkårlig kode. Dette problemet er løst gjennom forbedrede libxslt-sikkerhetsinnstillinger.

    CVE-ID

    CVE-2011-1774: Nicolas Gregoire fra Agarri.

Viktig: Nevnte tredjepartsnettsteder og -produkter er bare for informasjonsformål og utgjør ingen godkjenning eller anbefaling. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av informasjon eller produkter som finnes på tredjepartsnettsteder. Apple oppgir denne informasjonen kun som en praktisk tjeneste for brukerne våre. Apple har ikke testet informasjonen som finnes på disse nettstedene, og gir ingen garanti angående nøyaktigheten eller påliteligheten. Det er alltid risiko involvert når det gjelder bruk av informasjon eller produkter som finnes på internett, og Apple påtar seg ikke noe ansvar i forbindelse med dette. Vær oppmerksom på at tredjepartsnettsteder er uavhengig av Apple, og at Apple ikke har kontroll over innholdet på disse nettstedene. Du kan kontakte leverandøren for å få mer informasjon.

Publiseringsdato: