Om sikkerhedsindholdet i iTunes 9.1

I dette dokument beskrives sikkerhedsindholdet i iTunes 9.1.

Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen Sådan bruges PGP-nøglen til Apple Produktsikkerhed.

Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen "Apple-sikkerhedsopdateringer."

iTunes 9.1

  • ColorSync

    CVE-id: CVE-2010-0040

    Fås til: Windows 7, Vista, XP

    Effekt: Visning af et skadeligt billede med en indlejret farveprofil kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der findes et heltalsoverløb, som kan medføre et heap-bufferoverløb, i behandlingen af billeder med en indlejret billedprofil. Åbning af et skadeligt billede med en integreret farveprofil kan medføre pludselig applukning eller kørsel af vilkårlig kode. Dette problem er løst ved at udføre yderligere validering af farveprofiler. Problemet berører ikke Mac OS X-systemer. Tak til Sebastien Renaud fra VUPEN Vulnerability Research Team, som har rapporteret problemet.

  • ImageIO

    CVE-id: CVE-2009-2285

    Fås til: Windows 7, Vista, XP

    Effekt: Visning af et skadeligt TIFF-billede kan medføre pludselig applukning eller vilkårlig kørsel af kode

    Beskrivelse: Der findes et problem med bufferunderløb i behandlingen af TIFF-billeder i ImageIO. Visning af et skadeligt TIFF-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode. Problemet er løst via forbedret kontrol af grænser. For systemer med Mac OS X v10.6 er problemet løst i Mac OS X v10.6.2. For systemer med Mac OS X v10.5 er problemet løst i Sikkerhedsopdatering 2010-001.

  • ImageIO

    CVE-id: CVE-2010-0041

    Fås til: Windows 7, Vista, XP

    Effekt: Besøg på et skadelig websted kan medføre, at der sendes data fra Safaris hukommelse til webstedet

    Beskrivelse: Der findes et problem med ikke-initialiseret adgang til hukommelse i BMP-billedbehandlingen i ImageIO. Besøg på et skadeligt websted kan medføre, at der sendes data fra Safaris hukommelse til webstedet. Problemet er løst ved forbedret behandling af hukommelse og yderligere godkendelse af BMP-billeder. For systemer med Mac OS X v10.6 er problemet løst i Mac OS X v10.6.3. For systemer med Mac OS X v10.5 er problemet løst i Sikkerhedsopdatering 2010-002. Tak til Matthew 'j00ru' Jurczyk fra Hispasec, som har rapporteret problemet.

  • ImageIO

    CVE-id: CVE-2010-0042

    Fås til: Windows 7, Vista, XP

    Effekt: Besøg på et skadelig websted kan medføre, at der sendes data fra Safaris hukommelse til webstedet

    Beskrivelse: Der findes et problem med ikke-initialiseret adgang til hukommelse i TIFF-billedbehandlingen i ImageIO. Besøg på et skadeligt websted kan medføre, at der sendes data fra Safaris hukommelse til webstedet. Problemet er løst ved forbedret behandling af hukommelse og yderligere godkendelse af TIFF-billeder. For systemer med Mac OS X v10.6 er problemet løst i Mac OS X v10.6.3. For systemer med Mac OS X v10.5 er problemet løst i Sikkerhedsopdatering 2010-002. Tak til Matthew 'j00ru' Jurczyk fra Hispasec, som har rapporteret problemet.

  • ImageIO

    CVE-id: CVE-2010-0043

    Fås til: Windows 7, Vista, XP

    Effekt: Behandling af et skadeligt TIFF-billede kan medføre pludselig applukning eller vilkårlig kørsel af kode

    Beskrivelse: Der findes et problem med beskadiget hukommelse i behandlingen af TIFF-billeder. Behandling af et skadeligt TIFF-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode. Problemet er løst ved forbedret behandling af hukommelsen. For systemer med Mac OS X v10.6 er problemet løst i Mac OS X v10.6.3. Problemet berører ikke de systemer, der er ældre end Mac OS X v10.6. Tak til Gus Mueller fra Flying Meat, som har rapporteret problemet.

  • iTunes

    CVE-id: CVE-2010-0531

    Fås til: Mac OS X v10.4.11 eller en nyere version, Mac OS X Server v10.4.11 eller en nyere version, Windows 7, Vista, XP

    Effekt: Import af et skadeligt MP4-arkiv kan medføre et Denial of Service-angreb

    Beskrivelse: Der findes et problem med en uendelig løkke i behandlingen af MP4-arkiver. En skadelig podcast kan medføre en uendelig løkke i iTunes og forhindre, at appen kan køre selv efter genstart. Dette problem løses ved forbedret validering af MP4-arkiver. Tak til Sojeong Hong fra Sourcefire VRT, som har rapporteret problemet.

  • iTunes

    CVE-id: CVE-2010-0532

    Fås til: Windows 7, Vista, XP

    Effekt: En lokal bruger kan få systemrettigheder under installationen af iTunes

    Beskrivelse: Der findes et problem med tildeling af flere rettigheder i installationspakken til iTunes til Windows. Under installationen kan en konkurrencebetingelse give en lokal bruger adgang til at ændre et arkiv, som derefter køres med systemrettigheder. Problemet er løst via forbedrede adgangskontroller for installationsarkiver. Problemet berører ikke Mac OS X-systemer. Tak til Jason Geffner fra NGSSoftware, som har rapporteret problemet.

  • iTunes

    CVE-id: CVE-2010-1768

    Fås til: Mac OS X v10.4.11 eller en nyere version, Mac OS X Server v10.4.11 eller en nyere version

    Effekt: Synkronisering af en mobilenhed kan medføre, at en lokal bruger får flere rettigheder

    Beskrivelse: Der findes en usikker arkivoperation i behandlingen af logarkiver til mobilenheder. Synkronisering af en iPhone, iPad eller iPod touch kan medføre, at en lokal bruger får de samme rettigheder som konsolbrugeren. Dette problem er løst via forbedret behandling af logarkiver. Tak til Jon Passki og Nicolas Seriot fra HEIG-VD, som har rapporteret problemet.

  • iTunes

    CVE-id: CVE-2010-1795

    Fås til: Windows 7, Vista, XP

    Effekt: Åbning af et arkiv i et skadeligt bibliotek kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der findes et problem med stisøgning i iTunes. iTunes vil søge efter et bestemt DLL-arkiv i det aktuelt fungerende bibliotek. Hvis en person placerer et skadeligt arkiv med et bestemt navn i et bibliotek, kan åbning af et andet arkiv i det bibliotek i iTunes medføre kørsel af vilkårlig kode. Problemet er løst ved at fjerne den kode, der bruger DLL-arkivet. Problemet berører ikke Mac OS X-systemer. Tak til Simon Raner fra ACROS Security, der har rapporteret problemet.

Vigtigt: Oplysninger om produkter, der ikke er fremstillet af Apple, gives kun til orientering og udgør ikke Apples anbefaling eller godkendelse. Kontakt producenten for at få yderligere oplysninger.

Udgivelsesdato: