Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας για το iTunes 9.1

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας για το iTunes 9.1.

H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.

Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο «Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple».

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.

Για να ενημερωθείτε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο «Ενημερώσεις ασφάλειας Apple».

iTunes 9.1

  • ColorSync

    CVE-ID: CVE-2010-0040

    Διατίθεται για: Windows 7, Vista, XP

    Αποτέλεσμα: Η προβολή κακόβουλης εικόνας με ενσωματωμένο προφίλ χρώματος μπορεί να οδηγήσει σε μη αναμενόμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπερχείλιση ακεραίων, που μπορεί να οδηγήσει σε υπερχείλιση buffer στοίβας, υπάρχει στον χειρισμό εικόνων με ενσωματωμένο προφίλ χρώματος. Το άνοιγμα κακόβουλης εικόνας με ένα ενσωματωμένο χρωματικό προφίλ ενδέχεται να έχει ως αποτέλεσμα τον μη αναμενόμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω εκτέλεσης πρόσθετης επικύρωσης προφίλ χρώματος. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X. Ευχαριστούμε τον Sebastien Renaud της VUPEN Vulnerability Research Team για την αναφορά αυτού του προβλήματος.

  • ImageIO

    CVE-ID: CVE-2009-2285

    Διατίθεται για: Windows 7, Vista, XP

    Αποτέλεσμα: Η προβολή κακόβουλης εικόνας TIFF ενδέχεται να έχει ως αποτέλεσμα τον μη αναμενόμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει υποχείλιση buffer στον χειρισμό εικόνων TIFF από το ImageIO. Η προβολή κακόβουλης εικόνας TIFF ενδέχεται να έχει ως αποτέλεσμα τον μη αναμενόμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένο έλεγχο ορίων. Για συστήματα Mac OS X v10.6, αυτό το πρόβλημα αντιμετωπίζεται σε Mac OS X v10.6.2. Για συστήματα Mac OS X v10.5, αυτό το πρόβλημα αντιμετωπίζεται στην Ενημέρωση ασφάλειας 2010-001.

  • ImageIO

    CVE-ID: CVE-2010-0041

    Διατίθεται για: Windows 7, Vista, XP

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο μπορεί να έχει ως αποτέλεσμα την αποστολή δεδομένων από τη μνήμη του Safari στον ιστότοπο

    Περιγραφή: Υπάρχει πρόβλημα μη εκκίνησης πρόσβασης στη μνήμη στον χειρισμό εικόνων BMP από το ImageIO. Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να οδηγήσει στην αποστολή δεδομένων από τη μνήμη του Safari στον ιστότοπο. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού της μνήμης και πρόσθετης επικύρωσης των εικόνων BMP. Για συστήματα Mac OS X v10.6, αυτό το πρόβλημα αντιμετωπίζεται σε Mac OS X v10.6.3. Για συστήματα Mac OS X v10.5, αυτό το πρόβλημα αντιμετωπίζεται στην Ενημέρωση ασφάλειας 2010-002. Ευχαριστούμε τον Matthew 'j00ru' Jurczyk της Hispasec για την αναφορά αυτού του προβλήματος.

  • ImageIO

    CVE-ID: CVE-2010-0042

    Διατίθεται για: Windows 7, Vista, XP

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο μπορεί να έχει ως αποτέλεσμα την αποστολή δεδομένων από τη μνήμη του Safari στον ιστότοπο

    Περιγραφή: Υπάρχει πρόβλημα μη εκκίνησης πρόσβασης στη μνήμη στον χειρισμό εικόνων TIFF από το ImageIO. Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να οδηγήσει στην αποστολή δεδομένων από τη μνήμη του Safari στον ιστότοπο. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού της μνήμης και πρόσθετης επικύρωσης των εικόνων TIFF. Για συστήματα Mac OS X v10.6, αυτό το πρόβλημα αντιμετωπίζεται σε Mac OS X v10.6.3. Για συστήματα Mac OS X v10.5, αυτό το πρόβλημα αντιμετωπίζεται στην Ενημέρωση ασφάλειας 2010-002. Ευχαριστούμε τον Matthew 'j00ru' Jurczyk της Hispasec για την αναφορά αυτού του προβλήματος.

  • ImageIO

    CVE-ID: CVE-2010-0043

    Διατίθεται για: Windows 7, Vista, XP

    Αποτέλεσμα: Η επεξεργασία κακόβουλης εικόνας TIFF ενδέχεται να έχει ως αποτέλεσμα τον μη αναμενόμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει πρόβλημα καταστροφής μνήμης στον χειρισμό εικόνων TIFF. Η επεξεργασία κακόβουλης εικόνας TIFF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα. Αυτό το ζήτημα αντιμετωπίζεται με βελτιωμένο χειρισμό της μνήμης. Για συστήματα Mac OS X v10.6, το πρόβλημα αντιμετωπίζεται σε Mac OS X v10.6.3. Αυτό το πρόβλημα δεν επηρεάζει συστήματα πριν από το Mac OS X v10.6. Ευχαριστούμε τον Gus Mueller της Flying Meat για την αναφορά αυτού του προβλήματος.

  • iTunes

    CVE-ID: CVE-2010-0531

    Διατίθεται για: Mac OS X v10.4.11 ή νεότερη έκδοση, Mac OS X Server v10.4.11 ή μεταγενέστερες εκδόσεις, Windows 7, Vista, XP

    Αποτέλεσμα: Η εισαγωγή κακόβουλου αρχείου MP4 μπορεί να οδηγήσει σε άρνηση υπηρεσίας

    Περιγραφή: Υπάρχει πρόβλημα αέναου βρόχου στον χειρισμό αρχείων MP4. Κακόβουλο podcast μπορεί να προκαλεί αέναο βρόχο στο iTunes και να εμποδίζει τη λειτουργία του ακόμα και μετά από την επανεκκίνησή του. Αυτό το πρόβλημα αντιμετωπίζεται μέσω βελτιωμένης επικύρωσης των αρχείων MP4. Ευχαριστούμε τον Sojeong Hong της Sourcefire VRT για την αναφορά αυτού του προβλήματος.

  • iTunes

    CVE-ID: CVE-2010-0532

    Διατίθεται για: Windows 7, Vista, XP

    Αποτέλεσμα: Τοπικός χρήστης μπορεί να αποκτήσει προνόμια συστήματος κατά την εγκατάσταση του iTunes

    Περιγραφή: Υπάρχει πρόβλημα κλιμάκωσης προνομίων στο πακέτο εγκατάστασης iTunes για Windows. Κατά τη διαδικασία εγκατάστασης, σπάνια κατάσταση ενδέχεται να επιτρέπει σε τοπικό χρήστη να τροποποιήσει ένα αρχείο που εκτελείται τότε με προνόμια συστήματος. Το πρόβλημα αντιμετωπίζεται με βελτιωμένο έλεγχο πρόσβασης για αρχεία εγκατάστασης. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X. Ευχαριστούμε τον Jason Geffner της NGSSoftware για την αναφορά αυτού του προβλήματος.

  • iTunes

    CVE-ID: CVE-2010-1768

    Διατίθεται για: Mac OS X v10.4.11 ή νεότερη έκδοση, Mac OS X Server v10.4.11 ή νεότερη έκδοση

    Αποτέλεσμα: Ο συγχρονισμός κινητής συσκευής μπορεί να επιτρέψει σε τοπικό χρήστη να λάβει ανώτερα προνόμια

    Περιγραφή: Υπάρχει λειτουργία μη ασφαλούς αρχείου στον χειρισμό αρχείων καταγραφής για κινητές συσκευές. Ο συγχρονισμός iPhone, iPad ή iPod touch ενδέχεται να επιτρέψει σε τοπικό χρήστη να αποκτήσει προνόμια του χρήστη κονσόλας. Αυτό το θέμα αντιμετωπίζεται με βελτιωμένο χειρισμό των αρχείων καταγραφής. Ευχαριστούμε τον Jon Passki και τον Nicolas Seriot της HEIG-VD για την αναφορά του προβλήματος.

  • iTunes

    CVE-ID: CVE-2010-1795

    Διατίθεται για: Windows 7, Vista, XP

    Αποτέλεσμα: Το άνοιγμα αρχείου σε κακόβουλο κατάλογο μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει πρόβλημα αναζήτησης διαδρομής στο iTunes. Το iTunes θα αναζητήσει ένα ορισμένο DLL στον τρέχοντα λειτουργικό κατάλογο. Αν κάποιος τοποθετήσει κακόβουλο αρχείο με ορισμένο όνομα σε κατάλογο, το άνοιγμα άλλου αρχείου σε αυτό τον κατάλογο στο iTunes μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με αφαίρεση του κώδικα που χρησιμοποιεί το DLL. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X. Ευχαριστούμε τον Simon Raner της ACROS Security για την αναφορά αυτού του προβλήματος.

Σημαντικό: Οι πληροφορίες σχετικά με προϊόντα που δεν κατασκευάζονται από την Apple παρέχονται μόνο για ενημερωτικούς σκοπούς και δεν αποτελούν σύσταση ή έγκριση της Apple. Επικοινωνήστε με τον προμηθευτή για πρόσθετες πληροφορίες.

Ημερομηνία δημοσίευσης: