Informationen zum Sicherheitsinhalt von iTunes 9.1

In diesem Dokument finden Sie Informationen zum Sicherheitsinhalt von iTunes 9.1.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und wenn alle erforderlichen Programmkorrekturen oder Versionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website "Apple-Produktsicherheit".

Informationen zum Apple-Produktsicherheits-PGP-Schlüssel finden Sie unter "So verwenden Sie den Apple-Produktsicherheits-PGP-Schlüssel".

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter "Apple-Sicherheitsupdates".

iTunes 9.1

  • ColorSync

    CVE-ID: CVE-2010-0040

    Verfügbar für: Windows 7, Vista, XP

    Symptom: Das Anzeigen von nicht vertrauenswürdigen Bildern mit eingebettetem Farbprofil kann eine unerwartete Programmbeendigung oder die Ausführung beliebigen Codes verursachen.

    Beschreibung: Bei der Verarbeitung von Bildern mit einem eingebetteten Farbprofil kann ein Ganzzahlüberlauf zu einem Stapelpufferüberlauf führen. Das Öffnen von nicht vertrauenswürdigen Bildern mit eingebettetem Farbprofil kann eine unerwartete Programmbeendigung oder die Ausführung beliebigen Codes zur Folge haben. Um das Problem zu lösen, ist eine zusätzliche Validierung von Farbprofilen erforderlich. Dieses Problem betrifft keine Mac OS X-Systeme. Dank an Sebastien Renaud vom VUPEN Vulnerability Research-Team für die Meldung dieses Problems.

  • ImageIO

    CVE-ID: CVE-2009-2285

    Verfügbar für: Windows 7, Vista, XP

    Symptom: Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder der Ausführung beliebigen Codes führen.

    Beschreibung: Die Verarbeitung von TIFF-Bildern in ImageIO kann zu einem Pufferunterlauf führen. Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder der Ausführung beliebigen Codes führen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben. Systeme mit Mac OS X 10.6: Unter Mac OS X 10.6.2 tritt das Problem nicht mehr auf. Systeme mit Mac OS X 10.5: Das Problem wird durch Security Update 2010-001 behoben.

  • ImageIO

    CVE-ID: CVE-2010-0041

    Verfügbar für: Windows 7, Vista, XP

    Symptom: Das Aufrufen einer in böswilliger Absicht erstellten Website kann dazu führen, dass Daten aus dem Safari-Speicher an die Website gesendet werden.

    Beschreibung: Bei der Verarbeitung von BMP-Bildern in ImageIO treten Probleme aufgrund eines nicht initialisierten Speicherzugriffs auf. Das Aufrufen einer in böswilliger Absicht erstellten Website kann dazu führen, dass Daten aus dem Safari-Speicher an die Website gesendet werden. Dieses Problem wird durch eine verbesserte Speicherverarbeitung und eine zusätzliche Validierung von BMP-Bildern behoben. Systeme mit Mac OS X 10.6: Unter Mac OS X 10.6.3 tritt das Problem nicht mehr auf. Systeme mit Mac OS X 10.5: Das Problem wird durch Security Update 2010-002 behoben. Dank an Matthew 'j00ru' Jurczyk von Hispasec für die Meldung dieses Problems.

  • ImageIO

    CVE-ID: CVE-2010-0042

    Verfügbar für: Windows 7, Vista, XP

    Symptom: Das Aufrufen einer in böswilliger Absicht erstellten Website kann dazu führen, dass Daten aus dem Safari-Speicher an die Website gesendet werden.

    Beschreibung: Bei der Verarbeitung von TIFF-Bildern in ImageIO treten Probleme aufgrund eines nicht initialisierten Speicherzugriffs auf. Das Aufrufen einer in böswilliger Absicht erstellten Website kann dazu führen, dass Daten aus dem Safari-Speicher an die Website gesendet werden. Dieses Problem wird durch eine verbesserte Speicherverarbeitung und eine zusätzliche Validierung von TIFF-Bildern behoben. Systeme mit Mac OS X 10.6: Unter Mac OS X 10.6.3 tritt das Problem nicht mehr auf. Systeme mit Mac OS X 10.5: Das Problem wird durch Security Update 2010-002 behoben. Dank an Matthew 'j00ru' Jurczyk von Hispasec für die Meldung dieses Problems.

  • ImageIO

    CVE-ID: CVE-2010-0043

    Verfügbar für: Windows 7, Vista, XP

    Symptom: Das Bearbeiten eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder der Ausführung beliebigen Codes führen.

    Beschreibung: Bei der Verarbeitung von TIFF-Bildern tritt ein Problem aufgrund eines Speicherfehlers auf. Das Bearbeiten eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder der Ausführung beliebigen Codes führen. Dieses Problem wurde durch eine verbesserte Speicherverarbeitung behoben. Systeme mit Mac OS X 10.6: In Mac OS X 10.6.3 tritt das Problem nicht mehr auf. Systeme vor Mac OS X 10.6 sind nicht betroffen. Wir danken Gus Mueller von Flying Meat für die Meldung des Problems.

  • iTunes

    CVE-ID: CVE-2010-0531

    Verfügbar für: Mac OS X 10.4.11 oder neuer, Mac OS X Server 10.4.11 oder neuer, Windows 7, Vista, XP

    Symptom: Das Importieren einer in böswilliger Absicht erstellten MP4-Datei kann zu "Denial of Service" führen.

    Beschreibung: Bei der Verarbeitung von MP4-Dateien gibt es eine Schwachstelle für eine Endlosschleife. Ein in böswilliger Absicht erstellter Podcast kann in iTunes eine Endlosschleife auslösen und so selbst nach einem Neustart des Programms seine Ausführung verhindern. Dieses Problem wird durch eine verbesserte Validierung von MP4-Dateien behoben. Wir danken Sojeong Hong von Sourcefire VRT für die Meldung dieses Problems.

  • iTunes

    CVE-ID: CVE-2010-0532

    Verfügbar für: Windows 7, Vista, XP

    Symptom: Ein lokaler Benutzer könnte während der Installation von iTunes Systemrechte erlangen.

    Beschreibung: Im Installationspaket von iTunes für Windows gibt es ein Problem mit der Eskalation von Zugriffsrechten. Während des Installationsvorgangs kann es durch eine Race-Bedingung einem lokalen Benutzer ermöglicht werden, eine Datei zu verändern, die mit Systemrechten ausgeführt wird. Dieses Problem wird durch eine verbesserte Zugriffskontrolle für Installationsdateien behoben. Dieses Problem betrifft keine Mac OS X-Systeme. Wir danken Jason Geffner von NGSSoftware für die Meldung dieses Problems.

  •  

    iTunes

    CVE-ID: CVE-2010-1768

    Verfügbar für: Mac OS X 10.4.11 oder neuer, Mac OS X Server 10.4.11 oder neuer

    Symptom: Beim Synchronisieren eines Mobilgeräts kann ein lokaler Benutzer erhöhte Zugriffsrechte erhalten.

    Beschreibung: Bei der Verarbeitung von Protokolldateien für Mobilgeräte kommt es zu einer unsicheren Dateioperation. Beim Synchronisieren eines iPhone, iPad oder iPod touch kann ein lokaler Benutzer die Zugriffsrechte eines Konsolenbenutzers erhalten. Dieses Problem wird durch eine verbesserte Verarbeitung der Protokolldateien behoben. Wir danken Jon Passki und Nicolas Seriot von HEIG-VD für die Meldung des Problems.

  •  

    iTunes

    CVE-ID: CVE-2010-1795

    Verfügbar für: Windows 7, Vista, XP

    Symptom: Das Öffnen einer Datei in einem in böswilliger Absicht angelegten Verzeichnis kann zur Ausführung beliebigen Codes führen.

    Beschreibung: In iTunes kommt es zu einem Problem bei der Pfadsuche. iTunes sucht im aktuellen Arbeitsverzeichnis nach einer bestimmten DLL. Falls jemand eine in bösartiger Absicht erstellte und mit einem bestimmten Namen versehene Datei in einem Verzeichnis ablegt, kann das Öffnen einer anderen Datei in diesem Verzeichnis zur Ausführung beliebigen Codes führen. Dieses Problem wird gelöst, indem der Code, der von der DLL Gebrauch macht, entfernt wird. Dieses Problem betrifft keine Mac OS X-Systeme. Wir danken Simon Raner von ACROS Security für die Meldung des Problems.

 

Wichtig: Informationen zu Produkten, die nicht von Apple hergestellt wurden, werden zu Informationszwecken zur Verfügung gestellt und stellen keine Empfehlung oder Billigung seitens Apple dar. Für weitere Informationen wenden Sie sich bitte an den Hersteller.

Veröffentlichungsdatum: