Informationen zum Sicherheitsinhalt von iTunes 9.1
In diesem Dokument wird der Sicherheitsinhalt von iTunes 9.1 beschrieben.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.
Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter „Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit“.
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates findest du unter „Apple-Sicherheitsupdates“.
iTunes 9.1
ColorSync
CVE-ID: CVE-2010-0040
Verfügbar für: Windows 7, Vista, XP
Auswirkung: Das Anzeigen eines in böswilliger Absicht erstellten Bildes mit einem eingebetteten Farbprofil kann zu einer unerwarteten Beendigung der Anwendung oder der Ausführung von beliebigem Code führen
Beschreibung: Ein Integer-Überlauf, der zu einem Heap-Puffer-Überlauf führen kann, besteht bei der Verarbeitung von Bildern mit eingebettetem Farbprofil. Das Öffnen eines in böswilliger Absicht erstellten Bildes mit einem eingebetteten Farbprofil kann zu einem unerwarteten Beenden der Anwendung oder zur Ausführung von beliebigem Code führen. Das Problem wird durch eine zusätzliche Validierung der Farbprofile behoben. Mac OS X-Systeme sind nicht von diesem Problem betroffen. Wir danken Sebastien Renaud vom VUPEN Vulnerability Research Team für die Meldung dieses Problems.
ImageIO
CVE-ID: CVE-2009-2285
Verfügbar für: Windows 7, Vista, XP
Auswirkung: Das Betrachten eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Beenden der Anwendung oder zur Ausführung von beliebigem Code führen
Beschreibung: Es gibt einen Pufferunterlauf bei der Verarbeitung von TIFF-Bildern in ImageIO. Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Problem wird durch eine verbesserte Abgrenzungsüberprüfung behoben. Für Mac OS X v10.6-Systeme wird dieses Problem in Mac OS X v10.6.2 behoben. Für Mac OS X v10.5-Systeme wird dieses Problem im Sicherheitsupdate 2010-001 behoben.
ImageIO
CVE-ID: CVE-2010-0041
Verfügbar für: Windows 7, Vista, XP
Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann dazu führen, dass Daten aus dem Speicher von Safari an die Website gesendet werden.
Beschreibung: Bei der Verarbeitung von BMP-Bildern durch ImageIO besteht ein Problem mit nicht initialisiertem Speicherzugriff. Der Besuch einer in böswilliger Absicht erstellten Website kann dazu führen, dass Daten aus dem Speicher von Safari an die Website gesendet werden. Dieses Problem wird durch eine verbesserte Speicherverwaltung und eine zusätzliche Validierung von BMP-Bildern behoben. Für Mac OS X v10.6-Systeme wird dieses Problem in Mac OS X v10.6.3 behoben. Für Mac OS X v10.5-Systeme wird dieses Problem im Sicherheitsupdate 2010-002 behoben. Wir danken Matthew 'j00ru' Jurczyk von Hispasec für die Meldung dieses Problems.
ImageIO
CVE-ID: CVE-2010-0042
Verfügbar für: Windows 7, Vista, XP
Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann dazu führen, dass Daten aus dem Speicher von Safari an die Website gesendet werden.
Beschreibung: Bei der Verarbeitung von TIFF-Bildern durch ImageIO besteht ein Problem mit nicht initialisiertem Speicherzugriff. Der Besuch einer in böswilliger Absicht erstellten Website kann dazu führen, dass Daten aus dem Speicher von Safari an die Website gesendet werden. Dieses Problem wird durch eine verbesserte Speicherverwaltung und eine zusätzliche Validierung von TIFF-Bildern behoben. Für Mac OS X v10.6-Systeme wird dieses Problem in Mac OS X v10.6.3 behoben. Für Mac OS X v10.5-Systeme wird dieses Problem im Sicherheitsupdate 2010-002 behoben. Wir danken Matthew 'j00ru' Jurczyk von Hispasec für die Meldung dieses Problems.
ImageIO
CVE-ID: CVE-2010-0043
Verfügbar für: Windows 7, Vista, XP
Auswirkung: Die Verarbeitung eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Beenden der Anwendung oder zur Ausführung von beliebigem Code führen
Beschreibung: Bei der Verarbeitung von TIFF-Bildern gibt es ein Problem mit beschädigtem Speicher. Die Verarbeitung eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Problem wird durch eine verbesserte Speicherverwaltung behoben. Für Mac OS X v10.6-Systeme wird dieses Problem in Mac OS X v10.6.3 behoben. Dieses Problem betrifft keine Systeme vor Mac OS X v10.6. Wir danken Gus Mueller von Flying Meat für die Meldung dieses Problems.
iTunes
CVE-ID: CVE-2010-0531
Verfügbar für: Mac OS X v10.4.11 oder neuer, Mac OS X Server v10.4.11 oder neuer, Windows 7, Vista, XP
Auswirkung: Der Import einer in böswilliger Absicht erstellten MP4-Datei kann zu einem Denial-of-Service führen
Beschreibung: Ein in böswilliger Absicht erstellter Podcast kann möglicherweise eine Endlosschleife in iTunes verursachen und die Ausführung des Programms auch nach einem Neustart verhindern. Dieses Problem wird durch eine verbesserte Validierung von MP4-Dateien behoben. Wir danken Sojeong Hong von Sourcefire VRT für die Meldung dieses Problems.
iTunes
CVE-ID: CVE-2010-0532
Verfügbar für: Windows 7, Vista, XP
Auswirkung: Ein lokaler Benutzer kann während der iTunes-Installation möglicherweise Systemrechte erlangen
Beschreibung: Im Installationspaket von iTunes für Windows gibt es ein Problem mit der Eskalation von Berechtigungen. Während des Installationsprozesses kann ein lokaler Benutzer aufgrund einer Race-Bedingung eine Datei ändern, die dann mit Systemprivilegien ausgeführt wird. Das Problem wird durch verbesserte Zugriffskontrollen für Installationsdateien behoben. Mac OS X-Systeme sind nicht von diesem Problem betroffen. Wir danken Jason Geffner von NGSSoftware für die Meldung dieses Problems.
iTunes
CVE-ID: CVE-2010-1768
Verfügbar für: Mac OS X v10.4.11 oder neuer, Mac OS X Server v10.4.11 oder neuer
Auswirkung: Durch die Synchronisierung eines mobilen Geräts kann ein lokaler Benutzer möglicherweise erweiterte Berechtigungen erlangen
Beschreibung: Es gibt eine unsichere Dateioperation bei der Verarbeitung von Protokolldateien für mobile Geräte. Die Synchronisierung eines iPhone, iPad oder iPod touch kann es einem lokalen Benutzer ermöglichen, die Rechte des Konsolenbenutzers zu erlangen. Dieses Problem wird durch eine verbesserte Validierung von Protokolldateien behoben. Wir danken Jon Passki, and Nicolas Seriot von HEIG-VD für die Meldung dieses Problems.
iTunes
CVE-ID: CVE-2010-1795
Verfügbar für: Windows 7, Vista, XP
Auswirkungen: Das Öffnen einer Datei in einem in böswilliger Absicht präparierten Verzeichnis kann zur Ausführung von beliebigem Code führen
Beschreibung: In iTunes gibt es ein Problem bei der Pfadsuche. iTunes sucht nach einer bestimmten DLL im aktuellen Arbeitsverzeichnis. Wenn jemand eine in böswilliger Absicht erstellte Datei mit einem bestimmten Namen in einem Verzeichnis ablegt, kann das Öffnen einer anderen Datei in diesem Verzeichnis in iTunes zur Ausführung von beliebigem Code führen. Dieses Problem wird durch Entfernen des Codes, der die DLL verwendet, behoben. Mac OS X-Systeme sind nicht von diesem Problem betroffen. Wir danken Simon Raner von ACROS Security für die Meldung dieses Problems.
Wichtig: Informationen zu Produkten, die nicht von Apple hergestellt wurden, werden lediglich zu Informationszwecken zur Verfügung gestellt und stellen keine Empfehlung oder Billigung seitens Apple dar. Weitere Informationen sind beim Anbieter erhältlich.