Acerca del contenido de seguridad de iTunes 9.1
En este documento, se describe el contenido de seguridad de iTunes 9.1.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, consulta el sitio web Seguridad de los productos Apple.
Para obtener información acerca de la clave PGP de seguridad de los productos Apple, consulta “Cómo usar la clave PGP de seguridad de los productos Apple”.
A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.
Para obtener información acerca de las actualizaciones de seguridad, consulta “Actualizaciones de seguridad de Apple”.
iTunes 9.1
ColorSync
ID CVE: CVE-2010-0040
Disponible para Windows 7, Vista, XP
Impacto: La visualización de una imagen creada con fines malintencionados con un perfil de color integrado puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.
Descripción: Existe un desbordamiento de enteros, que podría provocar un desbordamiento del búfer de montón, en el manejo de imágenes con un perfil de color integrado. La apertura de una imagen creada con fines malintencionados con un perfil de color integrado puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. El problema se soluciona realizando una validación adicional de los perfiles de color. Este problema no afecta a los sistemas de Mac OS X. Agradecemos a Sebastien Renaud del equipo de investigación de vulnerabilidades de VUPEN por informar este problema.
ImageIO
ID CVE: CVE-2009-2285
Disponible para Windows 7, Vista, XP
Impacto: La visualización de una imagen TIFF creada con fines malintencionados puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.
Descripción: Existe un subdesbordamiento de búferes en el manejo de imágenes TIFF por parte de ImageIO. La visualización de una imagen TIFF creada con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando la comprobación de límites. En el caso de los sistemas Mac OS X v10.6, este problema se soluciona en Mac OS X v10.6.2. En el caso de los sistemas Mac OS X v10.5, este problema se soluciona en la actualización de seguridad 2010-001.
ImageIO
ID CVE: CVE-2010-0041
Disponible para Windows 7, Vista, XP
Impacto: Visitar un sitio web creado con fines malintencionados puede provocar el envío de datos de la memoria de Safari al sitio web.
Descripción: Existe un problema de acceso a memoria no inicializada en el manejo de imágenes BMP por parte de ImageIO. Visitar un sitio web creado con fines malintencionados puede provocar el envío de datos de la memoria de Safari al sitio web. Este problema se soluciona mediante una mejora en el manejo de la memoria y una validación adicional de las imágenes BMP. En el caso de los sistemas Mac OS X v10.6, este problema se soluciona en Mac OS X v10.6.3. En el caso de los sistemas Mac OS X v10.5, este problema se soluciona en la actualización de seguridad 2010-002. Agradecemos a Matthew 'j00ru' Jurczyk de Hispasec por informar este problema.
ImageIO
ID CVE: CVE-2010-0042
Disponible para Windows 7, Vista, XP
Impacto: Visitar un sitio web creado con fines malintencionados puede provocar el envío de datos de la memoria de Safari al sitio web.
Descripción: Existe un problema de acceso a memoria no inicializada en el manejo de imágenes TIFF por parte de ImageIO. Visitar un sitio web creado con fines malintencionados puede provocar el envío de datos de la memoria de Safari al sitio web. Este problema se soluciona mediante una mejora en el manejo de la memoria y una validación adicional de las imágenes TIFF. En el caso de los sistemas Mac OS X v10.6, este problema se soluciona en Mac OS X v10.6.3. En el caso de los sistemas Mac OS X v10.5, este problema se soluciona en la actualización de seguridad 2010-002. Agradecemos a Matthew 'j00ru' Jurczyk de Hispasec por informar este problema.
ImageIO
ID CVE: CVE-2010-0043
Disponible para Windows 7, Vista, XP
Impacto: El procesamiento de una imagen TIFF creada con fines malintencionados puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.
Descripción: Existe un problema de daños en la memoria en el manejo de imágenes TIFF. El procesamiento de una imagen TIFF creada con fines malintencionados puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Este problema se soluciona mediante una mejora en el manejo de la memoria. En el caso de los sistemas Mac OS X v10.6, este problema se soluciona en Mac OS X v10.6.3. Este problema no afecta a los sistemas anteriores a Mac OS X v10.6. Agradecemos a Gus Mueller de Flying Meat por informar este problema.
iTunes
ID CVE: CVE-2010-0531
Disponible para Mac OS X v10.4.11 o versiones posteriores, Mac OS X Server v10.4.11 o versiones posteriores, Windows 7, Vista, XP
Impacto: La importación de un archivo MP4 creado con fines malintencionados puede provocar una denegación de servicio.
Descripción: Existe un problema de ciclo infinito en el manejo de archivos MP4. Un podcast creado con fines malintencionados puede provocar un ciclo infinito en iTunes e impedir su funcionamiento incluso después de reiniciarlo. Este problema se soluciona mejorando la validación de los archivos MP4. Agradecemos a Sojeong Hong del equipo de investigación de vulnerabilidades de Sourcefire por informar este problema.
iTunes
ID CVE: CVE-2010-0532
Disponible para Windows 7, Vista, XP
Impacto: Un usuario local puede obtener privilegios del sistema durante la instalación de iTunes.
Descripción: Existe un problema de extensión de privilegios en el paquete de instalación de iTunes para Windows. Durante el proceso de instalación, una condición de carrera puede permitir a un usuario local modificar un archivo que luego se ejecuta con privilegios del sistema. El problema se soluciona mejorando los controles de acceso a los archivos de instalación. Este problema no afecta a los sistemas de Mac OS X. Agradecemos a Jason Geffner de NGSSoftware por informar este problema.
iTunes
ID CVE: CVE-2010-1768
Disponible para Mac OS X v10.4.11 o versiones posteriores, Mac OS X Server v10.4.11 o versiones posteriores
Impacto: La sincronización de un dispositivo móvil puede permitir a un usuario local obtener privilegios elevados.
Descripción: Existe una operación de archivos insegura en el manejo de archivos de registro para dispositivos móviles. La sincronización de un iPhone, iPad o iPod touch puede permitir a un usuario local obtener los privilegios de uso de consola. Este problema se soluciona mejorando el manejo de los archivos de registro. Agradecemos a Jon Passki y Nicolas Seriot de HEIG-VD por informar este problema.
iTunes
ID CVE: CVE-2010-1795
Disponible para Windows 7, Vista, XP
Impacto: La apertura de un archivo en un directorio creado con fines malintencionados puede provocar la ejecución de código arbitrario.
Descripción: Existe un problema de búsqueda de rutas en iTunes. iTunes buscará una DLL específica en el directorio de trabajo actual. Si alguien coloca un archivo creado con fines malintencionados con un nombre específico en un directorio, la apertura de otro archivo de ese directorio en iTunes puede provocar la ejecución de código arbitrario. Este problema se soluciona eliminando el código que utiliza la DLL. Este problema no afecta a los sistemas de Mac OS X. Queremos darle las gracias a Simon Raner de ACROS Security por informar este problema.
Importante: La información sobre los productos no fabricados por Apple se proporciona solo con fines informativos y no constituye la recomendación ni promoción por parte de Apple. Comunícate con el proveedor para obtener más información.