Sobre o conteúdo de segurança do iTunes 10.5
Este documento descreve o conteúdo de segurança do iTunes 10.5.
Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.
Para informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário tenha mais informações.
Para saber mais sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.
iTunes 10.5
CoreFoundation
Disponível para: Windows 7, Vista, XP SP2 ou versão posterior.
Impacto: um ataque "man-in-the-middle" pode levar a um encerramento inesperado do aplicativo ou à execução arbitrária de códigos.
Descrição: havia um problema de memória corrompida no processamento de tokenização de strings. Esse problema não afeta os sistemas OS X Lion. No caso de sistemas Mac OS X 10.6, esse problema foi resolvido na Atualização de Segurança 2011-006.
CVE-ID
CVE-2011-0259: Apple.
ColorSync
Disponível para: Windows 7, Vista, XP SP2 ou versão posterior.
Impacto: visualizar uma imagem criada com códigos maliciosos com um perfil ColorSync incorporado pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.
Descrição: ocorre um estouro de inteiro durante o processamento de imagens com um perfil ColorSync incorporado, o que pode causar um estouro de buffer de pilha. Abrir uma imagem criada com códigos maliciosos com um perfil ColorSync incorporado pode resultar no encerramento inesperado do aplicativo ou na execução arbitrária de códigos. Esse problema não afeta os sistemas OS X Lion.
CVE-ID
CVE-2011-0200: binaryproof, que trabalha na Zero Day Initiative da TippingPoint.
CoreAudio
Disponível para: Windows 7, Vista, XP SP2 ou versão posterior.
Impacto: reproduzir conteúdo de áudio criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.
Descrição: havia um estouro de buffer no processamento de reprodução de áudio codificado com o código de áudio avançado. Esse problema não afeta os sistemas OS X Lion.
CVE-ID
CVE-2011-3252: Luigi Auriemma, em parceria com a Zero Day Initiative da TippingPoint.
CoreMedia
Disponível para: Windows 7, Vista, XP SP2 ou versão posterior.
Impacto: a visualização de um arquivo de filme criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.
Descrição: ocorre um estouro de buffer durante o processamento de arquivos de filme com codificação H.264. No caso de sistemas OS X Lion, esse problema foi resolvido no OS X Lion 10.7.2. No caso de sistemas Mac OS X 10.6, foi resolvido na Atualização de Segurança 2011-006.
CVE-ID
CVE-2011-3219: Damian Put, em parceria com a Zero Day Initiative da TippingPoint.
ImageIO
Disponível para: Windows 7, Vista, XP SP2 ou versão posterior.
Impacto: a visualização de uma imagem TIFF criada com códigos mal-intencionados pode causar o fechamento inesperado de aplicativos ou a execução de códigos arbitrários.
Descrição: ocorre um estouro de buffer de pilha durante o processamento de imagens TIFF pelo ImageIO. Esse problema não afeta os sistemas OS X Lion. Para sistemas Mac OS X 10.6, esse problema é resolvido no Mac OS X 10.6.8.
CVE-ID
CVE-2011-0204: Dominic Chell da NGS Secure.
ImageIO
Disponível para: Windows 7, Vista, XP SP2 ou versão posterior.
Impacto: a visualização de uma imagem TIFF criada com códigos mal-intencionados pode causar o fechamento inesperado de aplicativos ou a execução de códigos arbitrários.
Descrição: havia um problema de reentrância no processamento de imagens TIFF pelo ImageIO. Esse problema não afeta sistemas Mac OS X.
CVE-ID
CVE-2011-0215: Juan Pablo Lopez Yacubian, em parceria com o VCP da iDefense.
WebKit
Disponível para: Windows 7, Vista, XP SP2 ou posterior
Impacto: um ataque do tipo "man-in-the-middle" durante a navegação na iTunes Store pelo iTunes pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos.
Descrição: havia vários problemas de corrupção de memória no WebKit.
CVE-ID
CVE-2010-1823 : David Weston da Microsoft e Microsoft Vulnerability Research (MSVR), wushi da team509 e Yong Li da Research In Motion Ltd.
CVE-2011-0164: Apple.
CVE-2011-0218: SkyLined da Google Chrome Security Team.
CVE-2011-0221: Abhishek Arya (Inferno) da Google Chrome Security Team.
CVE-2011-0222: Nikita Tarakanov e Alex Bazhanyuk, da CISS Research Team, e Abhishek Arya (Inferno) da Google Chrome Security Team.
CVE-2011-0223: Jose A. Vazquez da spa-s3c.blogspot.com em parceria com o VCP da iDefense.
CVE-2011-0225: Abhishek Arya (Inferno) da Google Chrome Security Team.
CVE-2011-0232: J23 em parceria com a Zero Day Initiative da TippingPoint.
CVE-2011-0233: wushi da team509, em parceria com a Zero Day Initiative da TippingPoint.
CVE-2011-0234: Rob King em parceria com a Zero Day Initiative da TippingPoint, wushi da team509 em parceria com a Zero Day Initiative da TippingPoint, wushi da team509 em parceria com o VCP da iDefense.
CVE-2011-0235: Abhishek Arya (Inferno) da Google Chrome Security Team.
CVE-2011-0237: wushi da team509, em parceria com o VCP da iDefense.
CVE-2011-0238: Adam Barth da Google Chrome Security Team.
CVE-2011-0240: wushi da team509, em parceria com o VCP da iDefense.
CVE-2011-0253: Richard Keen.
CVE-2011-0254: um pesquisador anônimo em parceria com a Zero Day Initiative da HP.
CVE-2011-0255: um pesquisador anônimo em parceria com a Zero Day Initiative da HP.
CVE-2011-0981: Rik Cabanier da Adobe Systems, Inc.
CVE-2011-0983: Martin Barbella.
CVE-2011-1109: Sergey Glazunov.
CVE-2011-1114: Martin Barbella.
CVE-2011-1115: Martin Barbella.
CVE-2011-1117: wushi da team509.
CVE-2011-1121: miaubiz.
CVE-2011-1188: Martin Barbella.
CVE-2011-1203: Sergey Glazunov.
CVE-2011-1204: Sergey Glazunov.
CVE-2011-1288: Andreas Kling da Nokia.
CVE-2011-1293: Sergey Glazunov.
CVE-2011-1296: Sergey Glazunov.
CVE-2011-1440: Jose A. Vazquez da spa-s3c.blogspot.com.
CVE-2011-1449: Marek Majkowski.
CVE-2011-1451: Sergey Glazunov.
CVE-2011-1453: wushi da team509, em parceria com a Zero Day Initiative da TippingPoint.
CVE-2011-1457: John Knottenbelt do Google.
CVE-2011-1462: wushi da team509.
CVE-2011-1797: wushi da team509.
CVE-2011-2338: Abhishek Arya (Inferno) da Google Chrome Security Team usando AddressSanitizer.
CVE-2011-2339: Cris Neckar da Google Chrome Security Team.
CVE-2011-2341: Apple.
CVE-2011-2351: miaubiz.
CVE-2011-2352: Apple.
CVE-2011-2354: Apple.
CVE-2011-2356: Adam Barth e Abhishek Arya da Google Chrome Security Team usando AddressSanitizer.
CVE-2011-2359: miaubiz.
CVE-2011-2788: Mikolaj Malecki da Samsung.
CVE-2011-2790: miaubiz.
CVE-2011-2792: miaubiz.
CVE-2011-2797: miaubiz.
CVE-2011-2799: miaubiz.
CVE-2011-2809: Abhishek Arya (Inferno) da Google Chrome Security Team.
CVE-2011-2811: Apple.
CVE-2011-2813: Cris Neckar da Google Chrome Security Team usando AddressSanitizer.
CVE-2011-2814: Abhishek Arya (Inferno) da Google Chrome Security Team usando AddressSanitizer.
CVE-2011-2815: SkyLined da Google Chrome Security Team.
CVE-2011-2816: Apple.
CVE-2011-2817: Abhishek Arya (Inferno) da Google Chrome Security Team usando AddressSanitizer.
CVE-2011-2818: Martin Barbella.
CVE-2011-2820: Raman Tenneti e Philip Rogers of Google.
CVE-2011-2823: SkyLined da Google Chrome Security Team.
CVE-2011-2827: miaubiz.
CVE-2011-2831: Abhishek Arya (Inferno) da Google Chrome Security Team usando AddressSanitizer.
CVE-2011-3232: Aki Helin da OUSPG.
CVE-2011-3233: Sadrul Habib Chowdhury da comunidade de desenvolvimento do Chromium, Cris Neckar e Abhishek Arya (Inferno) da Google Chrome Security Team.
CVE-2011-3234: miaubiz.
CVE-2011-3235: Dimitri Glazkov, Kent Tamura, Dominic Cooney da comunidade de desenvolvimento do Chromium e Abhishek Arya (Inferno) da Google Chrome Security Team.
CVE-2011-3236: Abhishek Arya (Inferno) da Google Chrome Security Team usando AddressSanitizer.
CVE-2011-3237: Dimitri Glazkov, Kent Tamura, Dominic Cooney da comunidade de desenvolvimento do Chromium e Abhishek Arya (Inferno) da Google Chrome Security Team.
CVE-2011-3238: Martin Barbella.
CVE-2011-3239: Slawomir Blazek.
CVE-2011-3241: Apple.
CVE-2011-3244: vkouchna.
WebKit
Disponível para: Windows 7, Vista, XP SP2 ou versão posterior.
Impacto: um ataque do tipo "man-in-the-middle" pode causar a execução arbitrária de códigos.
Descrição: havia um problema de configuração no uso de libxslt por WebKit. Um ataque do tipo "man-in-the-middle" durante a navegação na iTunes Store pelo iTunes pode levar à criação de arquivos arbitrários com os privilégios do usuário, que podem causar a execução de códigos arbitrários. Esse problema foi resolvido por meio da melhoria de ajustes de segurança de libxslt.
CVE-ID
CVE-2011-1774: Nicolas Gregoire da Agarri.
Importante: a menção a sites e produtos de terceiros tem fins somente informativos e não constitui aprovação nem recomendação. A Apple não assume responsabilidade pela seleção, pelo desempenho nem pelo uso de informações ou produtos disponíveis em sites de terceiros. A Apple fornece essas informações somente como cortesia para os usuários. A Apple não testou as informações disponíveis nesses sites e não garante sua precisão ou confiabilidade. O uso de quaisquer informações ou produtos disponíveis na Internet implica riscos, pelos quais a Apple não se responsabiliza. É importante compreender que sites de terceiros são independentes da Apple e que a Apple não tem controle sobre o conteúdo neles exibido. Entre em contato com o fornecedor para obter mais informações.