Informace o bezpečnostním obsahu iTunes 10.5

Tento dokument popisuje bezpečnostní obsah iTunes 10.5.

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

iTunes 10.5

  • CoreFoundation

    K dispozici pro: Windows 7, Vista, XP SP2 a novější.

    Dopad: Útok typu man-in-the-middle může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Ve zpracovávání tokenizace řetězců existoval problém s poškozením paměti. Tento problém se netýká systémů OS X Lion. U systémů Mac OS X v10.6 je tento problém vyřešen v bezpečnostní aktualizaci 2011-006.

    CVE-ID

    CVE-2011-0259 : Apple.

  • ColorSync

    K dispozici pro: Windows 7, Vista, XP SP2 a novější.

    Dopad: Zobrazení škodlivého obrázku s vloženým profilem ColorSync může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při zpracování obrázků s vloženým profilem ColorSync docházelo k problému s přetečením celých čísel, což může vést k přetečení zásobníku. Při otevření škodlivého obrázku s vloženým profilem ColorSync může dojít k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Tento problém se netýká systémů OS X Lion.

    CVE-ID

    CVE-2011-0200: binaryproof ve spolupráci se Zero Day Initiative společnosti TippingPoint.

  • CoreAudio

    K dispozici pro: Windows 7, Vista, XP SP2 a novější.

    Dopad: Přehrávání škodlivého zvukového obsahu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při zpracování zvukového streamu kódovaného pokročilým zvukovým kódem docházelo k přetečení vyrovnávací paměti. Tento problém se netýká systémů OS X Lion.

    CVE-ID

    CVE-2011-3252: Luigi Auriemma spolupracující se Zero Day Initiative společnosti TippingPoint.

  • CoreMedia

    K dispozici pro: Windows 7, Vista, XP SP2 a novější.

    Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při zpracovávání filmových souborů v kódování H.264 mohlo dojít k přetečení vyrovnávací paměti. U systémů OS X Lion je tento problém vyřešen ve verzi OS X Lion v10.7.2. U systémů Mac OS X v10.6 je tento problém vyřešen v bezpečnostní aktualizaci 2011-006.

    CVE-ID

    CVE-2011-3219: Damian Put spolupracující se Zero Day Initiative společnosti TippingPoint.

  • ImageIO

    K dispozici pro: Windows 7, Vista, XP SP2 a novější.

    Dopad: Zobrazení škodlivého obrázku TIFF může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při manipulaci s obrázky TIFF prostřednictvím třídy ImageIO docházelo k problému s přetečením haldy vyrovnávací paměti. Tento problém se netýká systémů OS X Lion. Pro systémy Mac OS X 10.6 je problém vyřešen v Mac OS X 10.6.8.

    CVE-ID

    CVE-2011-0204 : Dominic Chell ze společnosti NGS Secure.

  • ImageIO

    K dispozici pro: Windows 7, Vista, XP SP2 a novější.

    Dopad: Zobrazení škodlivého obrázku TIFF může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při manipulaci s obrázky TIFF prostřednictvím třídy ImageIO docházelo k problému s opakovaným souběžným spouštěním (reentrancy). Tento problém se netýká systémů Mac OS X.

    CVE-ID

    CVE-2011-0215 : Juan Pablo Lopez Yacubian ve spolupráci s iDefense VCP.

  • WebKit

    K dispozici pro: Windows 7, Vista, XP SP2 a novější.

    Dopad: Útok typu man-in-the-middle při procházení iTunes Storu přes iTunes může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu.

    Popis: Ve WebKitu docházelo k několika problémům s poškozením paměti.

    CVE-ID

    CVE-2010-1823 : David Weston ze společnosti Microsoft a Microsoft Vulnerability Research (MSVR), wushi z team509 a Yong Li ze společnosti Research In Motion Ltd.

    CVE-2011-0164 : Apple.

    CVE-2011-0218 : SkyLined z týmu Google Chrome Security.

    CVE-2011-0221 : Abhishek Arya (Inferno) z týmu Google Chrome Security.

    CVE-2011-0222 : Nikita Tarakanov a Alex Bazhanyuk z týmu CISS Research a Abhishek Arya (Inferno) z týmu Google Chrome Security.

    CVE-2011-0223 : Jose A. Vazquez ze spa-s3c.blogspot.com ve spolupráci s iDefense VCP.

    CVE-2011-0225: Abhishek Arya (Inferno) z týmu Google Chrome Security.

    CVE-2011-0232 : J23 spolupracující se Zero Day Initiative společnosti TippingPoint.

    CVE-2011-0233 : wushi z team509 spolupracující se Zero Day Initiative společnosti TippingPoint.

    CVE-2011-0234 : Rob King ve spolupráci se Zero Day Initiative společnosti TippingPoint, wushi z team509 ve spolupráci se Zero Day Initiative společnosti TippingPoint, wushi z team509 ve spolupráci s iDefense VCP.

    CVE-2011-0235: Abhishek Arya (Inferno) z týmu Google Chrome Security.

    CVE-2011-0237 : wushi z team509 ve spolupráci s iDefense VCP.

    CVE-2011-0238: Adam Barth z týmu Google Chrome Security.

    CVE-2011-0240 : wushi z team509 ve spolupráci s iDefense VCP.

    CVE-2011-0253 : Richard Keen.

    CVE-2011-0254 : Anonymní výzkumník spolupracující se Zero Day Initiative společnosti TippingPoint.

    CVE-2011-0255 : Anonymní výzkumník spolupracující se Zero Day Initiative společnosti TippingPoint.

    CVE-2011-0981 : Rik Cabanier ze společnosti Adobe Systems, Inc.

    CVE-2011-0983 : Martin Barbella.

    CVE-2011-1109 : Sergey Glazunov.

    CVE-2011-1114 : Martin Barbella.

    CVE-2011-1115 : Martin Barbella.

    CVE-2011-1117 : wushi z team509.

    CVE-2011-1121 : miaubiz.

    CVE-2011-1188 : Martin Barbella.

    CVE-2011-1203 : Sergey Glazunov.

    CVE-2011-1204 : Sergey Glazunov.

    CVE-2011-1288 : Andreas Kling ze společnosti Nokia.

    CVE-2011-1293 : Sergey Glazunov.

    CVE-2011-1296 : Sergey Glazunov.

    CVE-2011-1440 : Jose A. Vazquez ze spa-s3c.blogspot.com.

    CVE-2011-1449 : Marek Majkowski.

    CVE-2011-1451 : Sergey Glazunov.

    CVE-2011-1453 : wushi z team509 spolupracující se Zero Day Initiative společnosti TippingPoint.

    CVE-2011-1457 : John Knottenbelt ze společnosti Google.

    CVE-2011-1462 : wushi z team509.

    CVE-2011-1797 : wushi z team509.

    CVE-2011-2338: Abhishek Arya (Inferno) z týmu Google Chrome Security s využitím AddressSanitizer.

    CVE-2011-2339 : Cris Neckar z týmu Google Chrome Security.

    CVE-2011-2341 : Apple.

    CVE-2011-2351 : miaubiz.

    CVE-2011-2352 : Apple.

    CVE-2011-2354 : Apple.

    CVE-2011-2356: Adam Barth a Abhishek Arya z týmu Google Chrome Security s využitím AddressSanitizer.

    CVE-2011-2359 : miaubiz.

    CVE-2011-2788 : Mikolaj Malecki ze společnosti Samsung.

    CVE-2011-2790 : miaubiz.

    CVE-2011-2792 : miaubiz.

    CVE-2011-2797 : miaubiz.

    CVE-2011-2799 : miaubiz.

    CVE-2011-2809 : Abhishek Arya (Inferno) z týmu Google Chrome Security.

    CVE-2011-2811 : Apple.

    CVE-2011-2813: Cris Neckar z týmu Google Chrome Security s využitím AddressSanitizer.

    CVE-2011-2814: Abhishek Arya (Inferno) z týmu Google Chrome Security s využitím AddressSanitizer.

    CVE-2011-2815 : SkyLined z týmu Google Chrome Security.

    CVE-2011-2816 : Apple.

    CVE-2011-2817: Abhishek Arya (Inferno) z týmu Google Chrome Security s využitím AddressSanitizer.

    CVE-2011-2818 : Martin Barbella.

    CVE-2011-2820 : Raman Tenneti a Philip Rogers ze společnosti Google.

    CVE-2011-2823 : SkyLined z týmu Google Chrome Security.

    CVE-2011-2827 : miaubiz.

    CVE-2011-2831: Abhishek Arya (Inferno) z týmu Google Chrome Security s využitím AddressSanitizer.

    CVE-2011-3232 : Aki Helin ze společnosti OUSPG.

    CVE-2011-3233 : Sadrul Habib Chowdhury z komunity vývoje Chromium, Cris Neckar a Abhishek Arya (Inferno) z týmu Google Chrome Security.

    CVE-2011-3234 : miaubiz.

    CVE-2011-3235 : Dimitri Glazkov, Kent Tamura, Dominic Cooney z komunity vývoje Chromium a Abhishek Arya (Inferno) z týmu Google Chrome Security.

    CVE-2011-3236: Abhishek Arya (Inferno) z týmu Google Chrome Security s využitím AddressSanitizer.

    CVE-2011-3237 : Dimitri Glazkov, Kent Tamura, Dominic Cooney z komunity vývoje Chromium a Abhishek Arya (Inferno) z týmu Google Chrome Security.

    CVE-2011-3238 : Martin Barbella.

    CVE-2011-3239 : Slawomir Blazek.

    CVE-2011-3241 : Apple.

    CVE-2011-3244 : vkouchna.

  • WebKit

    K dispozici pro: Windows 7, Vista, XP SP2 a novější.

    Dopad: Útok typu man-in-the-middle může vést ke spuštění libovolného kódu.

    Popis: V používání libxslt WeKitem existoval problém s konfigurací. Útok typu man-in-the-middle při procházení iTunes Storu přes iTunes může vést k vytváření libovolných souborů s oprávněními uživatele, což může vést ke spuštění libovolného kódu. Problém byl vyřešen vylepšením bezpečnostních nastavení libxslt.

    CVE-ID

    CVE-2011-1774 : Nicolas Gregoire ze společnosti Agarri.

Důležité: Zmínky o webových stránkách a produktech třetích stran slouží pouze k informačním účelům a nepředstavují žádnou podporu ani žádné doporučení. Společnost Apple nenese žádnou odpovědnost za výběr, výkon nebo používání informací nebo produktů nalezených na webových stránkách třetích stran. Apple tyto informace poskytuje pouze pro zajištění pohodlí našim uživatelům. Společnost Apple netestovala informace nalezené na těchto stránkách a nečiní žádná prohlášení ohledně jejich přesnosti nebo spolehlivosti. Existují rizika spojená s používáním jakýchkoli informací nebo produktů nalezených na internetu a společnost Apple v tomto ohledu nenese žádnou odpovědnost. Vezměte na vědomí, že weby třetích stran jsou nezávislé na společnosti Apple a že společnost Apple nemá kontrolu nad obsahem takových webů. Pro získání dalších informací kontaktujte dodavatele.

Datum zveřejnění: