Acerca del contenido de seguridad de iTunes 10.2
En este documento se describe el contenido de seguridad de iTunes 10.2.
Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.
Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.
Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.
iTunes 10.2
ImageIO
Disponible para: Windows 7, Vista, XP SP2 o una versión posterior
Impacto: diversas vulnerabilidades en libpng.
Descripción: se ha actualizado libpng a la versión 1.4.3 para abordar diversas vulnerabilidades, las más graves de las cuales podrían desencadenar la ejecución de código arbitrario. Para sistemas con Mac OS X v10.5, este problema se ha resuelto en Actualización de seguridad 2010-007. En el sitio web de libpng hay más información disponible: http://www.libpng.org/pub/png/libpng.html
ID de CVE
CVE-2010-1205
CVE-2010-2249
ImageIO
Disponible para: Windows 7, Vista, XP SP2 o versiones posteriores
Impacto: la visualización de una imagen JPEG creada con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.
Descripción: existía un desbordamiento de búfer de montón en la gestión de imágenes JPEG por parte de ImageIO. La visualización de una imagen JPEG creada con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.
ID de CVE
CVE-2011-0170: Andrzej Dyjak en colaboración con iDefense VCP
ImageIO
Disponible para: Windows 7, Vista, XP SP2 o versiones posteriores
Impacto: la visualización de una imagen XBM creada con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.
Descripción: existía un desbordamiento de enteros en la gestión de imágenes XBM por parte de ImageIO. Visualizar una imagen XBM creada con fines malintencionados podría provocar la finalización inesperada de una aplicación o la ejecución arbitraria de código.
ID de CVE
CVE-2011-0181: Harry Sintonen
ImageIO
Disponible para: Windows 7, Vista, XP SP2 o versiones posteriores
Impacto: la visualización de una imagen TIFF creada con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.
Descripción: existía un desbordamiento de búfer en la gestión de imágenes TIFF con código JPEG por parte de libTIFF. Visualizar una imagen TIFF creada con fines malintencionados podría provocar la finalización inesperada de una aplicación o la ejecución arbitraria de código.
ID de CVE
CVE-2011-0191: Apple
ImageIO
Disponible para: Windows 7, Vista, XP SP2 o versiones posteriores
Impacto: la visualización de una imagen TIFF creada con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.
Descripción: existía un desbordamiento de búfer en la gestión de imágenes TIFF con código CCITT del Grupo 4 por parte de libTIFF. Visualizar una imagen TIFF creada con fines malintencionados podría provocar la finalización inesperada de una aplicación o la ejecución arbitraria de código.
ID de CVE
CVE-2011-0192: Apple
libxml
Disponible para: Windows 7, Vista, XP SP2 o versiones posteriores
Impacto: el procesamiento de un archivo XML creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.
Descripción: existía un problema de “double free” en la gestión de expresiones XPath por parte de libxml. El procesamiento de un archivo XML creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.
ID de CVE
CVE-2010-4494: Yang Dingning de NCNIPC, Universidad de Posgrados de la Academia China de las Ciencias
libxml
Disponible para: Windows 7, Vista, XP SP2 o versiones posteriores
Impacto: el procesamiento de un archivo XML creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.
Descripción: existía un problema de corrupción de la memoria en la gestión de expresiones XPath por parte de libxml. El procesamiento de un archivo XML creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.
ID de CVE
CVE-2010-4008: Bui Quang Minh de Bkis (www.bkis.com)
WebKit
Disponible para: Windows 7, Vista, XP SP2 o versiones posteriores
Impacto: un ataque de intermediario puede provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario
Descripción: existen varios problemas de corrupción de memoria en WebKit. Un ataque de intermediario mientras navega por iTunes Store a través de iTunes puede provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario.
ID de CVE
CVE-2010-1824: kuzzcc, y wushi de team509 en colaboración con la Zero Day Initiative de TippingPoint
CVE-2011-0111: Sergey Glazunov
CVE-2011-0112: Yuzo Fujishima de Google Inc.
CVE-2011-0113: Andreas Kling de Nokia
CVE-2011-0114: Chris Evans de Google Chrome Security Team
CVE-2011-0115: J23 en colaboración con la Zero Day Initiative de TippingPoint, y Emil A Eklund de Google, Inc
CVE-2011-0116: un investigador anónimo en colaboración con la Zero Day Initiative de TippingPoint
CVE-2011-0117: Abhishek Arya (Inferno) de Google, Inc.
CVE-2011-0118: Abhishek Arya (Inferno) de Google, Inc.
CVE-2011-0119: Abhishek Arya (Inferno) de Google, Inc.
CVE-2011-0120: Abhishek Arya (Inferno) de Google, Inc.
CVE-2011-0121: Abhishek Arya (Inferno) de Google, Inc.
CVE-2011-0122: Slawomir Blazek
CVE-2011-0123: Abhishek Arya (Inferno) de Google, Inc.
CVE-2011-0124: Yuzo Fujishima de Google Inc.
CVE-2011-0125: Abhishek Arya (Inferno) de Google, Inc.
CVE-2011-0126: Mihai Parparita de Google, Inc.
CVE-2011-0127: Abhishek Arya (Inferno) de Google, Inc.
CVE-2011-0128: David Bloom
CVE-2011-0129: Famlam
CVE-2011-0130: Apple
CVE-2011-0131: wushi de team509
CVE-2011-0132: wushi de team509 en colaboración con la Zero Day Initiative de TippingPoint
CVE-2011-0133: wushi de team509 en colaboración con la Zero Day Initiative de TippingPoint
CVE-2011-0134: Jan Tosovsky
CVE-2011-0135: un investigador anónimo
CVE-2011-0136: Sergey Glazunov
CVE-2011-0137: Sergey Glazunov
CVE-2011-0138: kuzzcc
CVE-2011-0139: kuzzcc
CVE-2011-0140: Sergey Glazunov
CVE-2011-0141: Chris Rohlf de Matasano Security
CVE-2011-0142: Abhishek Arya (Inferno) de Google, Inc.
CVE-2011-0143: Slawomir Blazek y Sergey Glazunov
CVE-2011-0144: Emil A Eklund de Google, Inc.
CVE-2011-0145: Abhishek Arya (Inferno) de Google, Inc.
CVE-2011-0146: Abhishek Arya (Inferno) de Google, Inc.
CVE-2011-0147: Dirk Schulze
CVE-2011-0148: Michal Zalewski de Google, Inc.
CVE-2011-0149: wushi de team509 en colaboración con la Zero Day Initiative de TippingPoint, y SkyLined de Google Chrome Security Team
CVE-2011-0150: Michael Gundlach de safariadblock.com
CVE-2011-0151: Abhishek Arya (Inferno) de Google, Inc.
CVE-2011-0152: SkyLined de Google Chrome Security Team
CVE-2011-0153: Abhishek Arya (Inferno) de Google, Inc.
CVE-2011-0154: un investigador anónimo en colaboración con la Zero Day Initiative de TippingPoint
CVE-2011-0155: Aki Helin de OUSPG
CVE-2011-0156: Abhishek Arya (Inferno) de Google, Inc.
CVE-2011-0165: Sergey Glazunov
CVE-2011-0168: Sergey Glazunov
Importante: La mención de sitios web y productos de terceros es solo para fines informativos y no constituye ni aprobación ni recomendación. Apple no asume ninguna responsabilidad con respecto a la selección, el rendimiento o el uso de la información o los productos que aparecen en sitios web de terceros. Apple proporciona esta información solo para comodidad de nuestros usuarios. Apple no ha probado la información incluida en estos sitios web y no se responsabiliza de su precisión o fiabilidad. Siempre existen riesgos inherentes al uso de cualquier información o producto que se encuentre en internet, y Apple no asume ninguna responsabilidad al respecto. Debes comprender que el sitio web de un tercero es independiente de Apple y que Apple no tiene control sobre su contenido. Por favor, contacta con el proveedor para obtener más información.