Acerca del contenido de seguridad de iTunes 9.1
En este documento se describe el contenido de seguridad de iTunes 9.1.
Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.
Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.
Para obtener más información acerca de otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".
iTunes 9.1
ColorSync
ID de CVE: CVE-2010-0040
Disponible para: Windows 7, Vista, XP
Impacto: la visualización de una imagen creada con fines malintencionados con un perfil de color integrado puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.
Descripción: existe un desbordamiento de enteros que podría dar lugar a un desbordamiento de búfer de memoria dinámica en el manejo de imágenes con un perfil de color incrustado. La apertura de una imagen creada con fines malintencionados con un perfil de color integrado podría provocar el cierre de la aplicación de manera inesperada o la ejecución arbitraria de código. El problema se resuelve realizando una validación adicional de los perfiles de color. Este problema no afecta a los equipos con Mac OS X. Gracias a Sebastien Renaud de VUPEN Vulnerability Research Team por informar de este problema.
ImageIO
ID de CVE: CVE-2009-2285
Disponible para: Windows 7, Vista, XP
Impacto: la visualización de una imagen TIFF creada con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: existe un subdesbordamiento de búfer en el manejo de imágenes TIFF por parte de ImageIO. La visualización de una imagen TIFF creada con fines malintencionados puede provocar el cierre de la aplicación de manera inesperada o la ejecución de código arbitrario. Este problema se ha solucionado mejorando la comprobación de los límites. Para los sistemas Mac OS X v10.6, este problema se soluciona en Mac OS X v10.6.2. Para los sistemas Mac OS X v10.5, este problema se soluciona en la Actualización de seguridad 2010-001.
ImageIO
ID de CVE: CVE-2010-0041
Disponible para: Windows 7, Vista, XP
Impacto: visitar un sitio web creado con fines malintencionados puede provocar el envío de datos de la memoria de Safari al sitio web.
Descripción: existe un problema de acceso a memoria no inicializada en el manejo de imágenes BMP por parte de ImageIO. Visitar un sitio web creado con fines malintencionados puede provocar el envío de datos de la memoria de Safari al sitio web. Este problema se soluciona mediante un mejor manejo de la memoria y una validación adicional de las imágenes BMP. Para los sistemas Mac OS X v10.6, este problema se soluciona en Mac OS X v10.6.3. Para los sistemas Mac OS X v10.5, este problema se soluciona en la Actualización de seguridad 2010-002. Gracias a Matthew 'j00ru' Jurczyk de Hispasec por informar de este problema.
ImageIO
ID de CVE: CVE-2010-0042
Disponible para: Windows 7, Vista, XP
Impacto: visitar un sitio web creado con fines malintencionados puede provocar el envío de datos de la memoria de Safari al sitio web.
Descripción: existe un problema de acceso a memoria no inicializada en el manejo de imágenes TIFF por parte de ImageIO. Visitar un sitio web creado con fines malintencionados puede provocar el envío de datos de la memoria de Safari al sitio web. Este problema se soluciona mediante un mejor manejo de la memoria y una validación adicional de las imágenes TIFF. Para los sistemas Mac OS X v10.6, este problema se soluciona en Mac OS X v10.6.3. Para los sistemas Mac OS X v10.5, este problema se soluciona en la Actualización de seguridad 2010-002. Gracias a Matthew 'j00ru' Jurczyk de Hispasec por informar de este problema.
ImageIO
ID de CVE: CVE-2010-0043
Disponible para: Windows 7, Vista, XP
Impacto: el procesamiento de una imagen TIFF creada con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: existe un problema de corrupción de memoria en el manejo de imágenes TIFF. Procesar una imagen TIFF creada con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código. Este problema se ha solucionado mediante la mejora de la gestión de la memoria. Para los sistemas Mac OS X v10.6, este problema se soluciona en Mac OS X v10.6.3. El problema no afecta a sistemas anteriores a Mac OS X v10.6. Gracias a Gus Mueller de Flying Meat por informar de este problema.
iTunes
ID de CVE: CVE-2010-0531
Disponible para: Mac OS X v10.4.11 o versiones posteriores, Mac OS X Server v10.4.11 o versiones posteriores, Windows 7, Vista, XP
Impacto: la importación de un archivo MP4 creado con fines malintencionados puede provocar una denegación de servicio.
Descripción: existe un problema de bucle infinito en el manejo de archivos MP4. Un podcast creado con fines malintencionados puede provocar un bucle infinito en iTunes e impedir su funcionamiento incluso después de relanzarlo. Este problema se resuelve mejorando la validación de los archivos MP4. Gracias a Sojeong Hong de Sourcefire VRT por informar de este problema.
iTunes
ID de CVE: CVE-2010-0532
Disponible para: Windows 7, Vista, XP
Impacto: un usuario local puede obtener privilegios del sistema durante la instalación de iTunes
Descripción: existe un problema de escalado de privilegios en el paquete de instalación de iTunes para Windows. Durante el proceso de instalación, una condición de carrera puede permitir a un usuario local modificar un archivo que luego se ejecuta con privilegios del sistema. El problema se soluciona mejorando los controles de acceso a los archivos de instalación. Este problema no afecta a los equipos con Mac OS X. Gracias a Jason Geffner de NGSSoftware por informar de este problema.
iTunes
ID de CVE: CVE-2010-1768
Disponible para: Mac OS X v10.4.11 o versiones posteriores, Mac OS X Server v10.4.11 o versiones posteriores
Impacto: la sincronización de un dispositivo móvil puede permitir a un usuario local obtener privilegios elevados.
Descripción: existe una operación de archivo insegura en el manejo de archivos de registro para dispositivos móviles. Sincronizar un iPhone, iPad o iPod touch puede permitir a un usuario local obtener los privilegios del usuario de la consola. Este problema se soluciona mejorando el manejo de los archivos de registro. Gracias a Jon Passki y a Nicolas Seriot de HEIG-VD por informar de este problema.
iTunes
ID de CVE: CVE-2010-1795
Disponible para: Windows 7, Vista, XP
Impacto: abrir un archivo en un directorio con fines malintencionados puede provocar la ejecución arbitraria de código.
Descripción: existe un problema de búsqueda de ruta en iTunes. iTunes buscará una DLL concreta en el directorio de trabajo actual. Si alguien coloca un archivo creado con fines malintencionados con un nombre específico en un directorio, abrir otro archivo de ese directorio en iTunes puede provocar la ejecución arbitraria de código. Este problema se soluciona eliminando el código que utiliza la DLL. Este problema no afecta a los equipos con Mac OS X. Gracias a Simon Raner de ACROS Security por informar de este problema.
Importante: La información sobre los productos no fabricados por Apple se proporciona solo con fines informativos y no supone ninguna recomendación o aval por parte de Apple. Por favor, contacta con el proveedor para obtener más información.