Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας για το iTunes 10.2

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας για το iTunes 10.2.

H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.

Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο «Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple».

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.

Για να ενημερωθείτε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο «Ενημερώσεις ασφάλειας Apple».

iTunes 10.2

• ImageIO

  Διατίθεται για: Windows 7, Vista, XP SP2 ή νεότερη έκδοση

  Αποτέλεσμα: Πολλαπλές ευπάθειες στο libpng

  Περιγραφή: Το libpng έχει ενημερωθεί στην έκδοση 1.4.3 για την αντιμετώπιση πολλαπλών ευπαθειών, η σοβαρότερη εκ των οποίων ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Για συστήματα Mac OS X v10.5, αυτό αντιμετωπίζεται στην ενημέρωση ασφάλειας 2010-007. Περισσότερες πληροφορίες διατίθενται μέσω του ιστότοπου του libpng στη διεύθυνση http://www.libpng.org/pub/png/libpng.html

  CVE-ID

  CVE-2010-1205

  CVE-2010-2249

• ImageIO

  Διατίθεται για: Windows 7, Vista, XP SP2 ή νεότερη έκδοση

  Αποτέλεσμα: Η προβολή κακόβουλης εικόνας JPEG ενδέχεται να οδηγήσει σε μη αναμενόμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

  Περιγραφή: Υπήρχε πρόβλημα υπερχείλισης buffer στον χειρισμό εικόνων JPEG από το ImageIO. Η προβολή κακόβουλης εικόνας JPEG ενδέχεται να οδηγήσει σε μη αναμενόμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα.

  CVE-ID

  CVE-2011-0170 : Andrzej Dyjak σε συνεργασία με το iDefense VCP

• ImageIO

  Διατίθεται για: Windows 7, Vista, XP SP2 ή νεότερη έκδοση

  Αποτέλεσμα: Η προβολή μιας κακόβουλης εικόνας XBM ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

  Περιγραφή: Υπήρχε πρόβλημα υπερχείλισης ακεραίων στον χειρισμό εικόνων XBM από το ImageIO. Η προβολή μιας κακόβουλης εικόνας XBM ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα.

  CVE-ID

  CVE-2011-0181: Harry Sintonen

• ImageIO

  Διατίθεται για: Windows 7, Vista, XP SP2 ή νεότερη έκδοση

  Αποτέλεσμα: Η προβολή μιας κακόβουλης εικόνας TIFF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

  Περιγραφή: Υπήρχε υπερχείλιση buffer στον χειρισμό κωδικοποιημένων εικόνων TIFF JPEG από το libTIFF. Η προβολή μιας κακόβουλης εικόνας TIFF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα.

  CVE-ID

  CVE-2011-0191: Apple

• ImageIO

  Διατίθεται για: Windows 7, Vista, XP SP2 ή νεότερη έκδοση

  Αποτέλεσμα: Η προβολή μιας κακόβουλης εικόνας TIFF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

  Περιγραφή: Υπήρχε υπερχείλιση buffer στον χειρισμό κωδικοποιημένων εικόνων TIFF CCITT Ομάδας 4 από το libTIFF. Η προβολή μιας κακόβουλης εικόνας TIFF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα.

  CVE-ID

  CVE-2011-0192: Apple

• libxml

  Διατίθεται για: Windows 7, Vista, XP SP2 ή νεότερη έκδοση

  Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε μη αναμενόμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

  Περιγραφή: Υπήρχε ένα πρόβλημα σφάλματος τύπου «double free» στον χειρισμό των παραστάσεων XPath από το libxml. Η επεξεργασία κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα.

  CVE-ID

  CVE-2010-4494: Yang Dingning του NCNIPC, Graduate University of Chinese Academy of Sciences

• libxml

  Διατίθεται για: Windows 7, Vista, XP SP2 ή νεότερη έκδοση

  Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε μη αναμενόμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

  Περιγραφή: Υπήρχε ένα πρόβλημα αλλοίωσης μνήμης στον χειρισμό XPath από το libxml. Η επεξεργασία κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα.

  CVE-ID

  CVE-2010-4008: Bui Quang Minh από το Bkis (www.bkis.com)

• WebKit

  Διατίθεται για: Windows 7, Vista, XP SP2 ή νεότερη έκδοση

  Αποτέλεσμα: Μια επίθεση από έναν ενδιάμεσο εισβολέα ενδέχετι να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

  Περιγραφή: Υπάρχουν πολλαπλά προβλήματα αλλοίωσης μνήμης στο WebKit. Μια επίθεση από έναν ενδιάμεσο εισβολέα κατά την περιήγηση στο iTunes Store μέσω του iTunes ενδέχεται να οδηγήσε σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα.

  CVE-ID

  CVE-2010-1824: kuzzcc και wushi της team509 σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint

  CVE-2011-0111: Sergey Glazunov

  CVE-2011-0112: Yuzo Fujishima από τη Google Inc.

  CVE-2011-0113: Andreas Kling από τη Nokia

  CVE-2011-0114: Chris Evans από τη Google Chrome Security Team

  CVE-2011-0115: J23 σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint και Emil A Eklund από τη Google, Inc

  CVE-2011-0116: ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint

  CVE-2011-0117: Abhishek Arya (Inferno) από τη Google, Inc.

  CVE-2011-0118: Abhishek Arya (Inferno) από τη Google, Inc.

  CVE-2011-0119: Abhishek Arya (Inferno) από τη Google, Inc.

  CVE-2011-0120: Abhishek Arya (Inferno) από τη Google, Inc.

  CVE-2011-0121: Abhishek Arya (Inferno) από τη Google, Inc.

  CVE-2011-0122: Slawomir Blazek

  CVE-2011-0123: Abhishek Arya (Inferno) από τη Google, Inc.

  CVE-2011-0124: Yuzo Fujishima από τη Google Inc.

  CVE-2011-0125: Abhishek Arya (Inferno) από τη Google, Inc.

  CVE-2011-0126: Mihai Parparita από τη Google, Inc.

  CVE-2011-0127: Abhishek Arya (Inferno) από τη Google, Inc.

  CVE-2011-0128: David Bloom

  CVE-2011-0129: Famlam

  CVE-2011-0130: Apple

  CVE-2011-0131: wushi από το team509

  CVE-2011-0132: wushi από το team509 σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint

  CVE-2011-0133: wushi από το team509 σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint

  CVE-2011-0134: Jan Tosovsky

  CVE-2011-0135: ανώνυμος

  CVE-2011-0136: Sergey Glazunov

  CVE-2011-0137: Sergey Glazunov

  CVE-2011-0138: kuzzcc

  CVE-2011-0139: kuzzcc

  CVE-2011-0140: Sergey Glazunov

  CVE-2011-0141: Chris Rohlf από τη Matasano Security

  CVE-2011-0142: Abhishek Arya (Inferno) από τη Google, Inc.

  CVE-2011-0143: Slawomir Blazek και Sergey Glazunov

  CVE-2011-0144: Emil A Eklund από τη Google, Inc.

  CVE-2011-0145: Abhishek Arya (Inferno) από τη Google, Inc.

  CVE-2011-0146: Abhishek Arya (Inferno) από τη Google, Inc.

  CVE-2011-0147: Dirk Schulze

  CVE-2011-0148: Michal Zalewski από τη Google, Inc.

  CVE-2011-0149: wushi της team509 σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint και SkyLined από την ομάδα Google Chrome Security Team

  CVE-2011-0150: Michael Gundlach από το safariadblock.com

  CVE-2011-0151: Abhishek Arya (Inferno) από τη Google, Inc.

  CVE-2011-0152: SkyLined από την ομάδα Google Chrome Security Team

  CVE-2011-0153: Abhishek Arya (Inferno) από τη Google, Inc.

  CVE-2011-0154: ένας ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint

  CVE-2011-0155: Aki Helin από το OUSPG

  CVE-2011-0156: Abhishek Arya (Inferno) από τη Google, Inc.

  CVE-2011-0165: Sergey Glazunov

  CVE-2011-0168: Sergey Glazunov