Acerca del contenido de seguridad de iTunes 10.2

En este documento se describe el contenido de seguridad de iTunes 10.2.

Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.

Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

iTunes 10.2

  • ImageIO

    Disponible para: Windows 7, Vista, XP SP2 o una versión posterior

    Impacto: diversas vulnerabilidades en libpng.

    Descripción: se ha actualizado libpng a la versión 1.4.3 para abordar diversas vulnerabilidades, las más graves de las cuales podrían desencadenar la ejecución de código arbitrario. Para sistemas con Mac OS X v10.5, este problema se ha resuelto en Actualización de seguridad 2010-007. En el sitio web de libpng hay más información disponible: http://www.libpng.org/pub/png/libpng.html

    ID de CVE

    CVE-2010-1205

    CVE-2010-2249

  • ImageIO

    Disponible para: Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: la visualización de una imagen JPEG creada con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.

    Descripción: existía un desbordamiento de búfer de montón en la gestión de imágenes JPEG por parte de ImageIO. La visualización de una imagen JPEG creada con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    ID de CVE

    CVE-2011-0170: Andrzej Dyjak en colaboración con iDefense VCP

  • ImageIO

    Disponible para: Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: la visualización de una imagen XBM creada con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.

    Descripción: existía un desbordamiento de enteros en la gestión de imágenes XBM por parte de ImageIO. Visualizar una imagen XBM creada con fines malintencionados podría provocar la finalización inesperada de una aplicación o la ejecución arbitraria de código.

    ID de CVE

    CVE-2011-0181: Harry Sintonen

  • ImageIO

    Disponible para: Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: la visualización de una imagen TIFF creada con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.

    Descripción: existía un desbordamiento de búfer en la gestión de imágenes TIFF con código JPEG por parte de libTIFF. Visualizar una imagen TIFF creada con fines malintencionados podría provocar la finalización inesperada de una aplicación o la ejecución arbitraria de código.

    ID de CVE

    CVE-2011-0191: Apple

  • ImageIO

    Disponible para: Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: la visualización de una imagen TIFF creada con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.

    Descripción: existía un desbordamiento de búfer en la gestión de imágenes TIFF con código CCITT del Grupo 4 por parte de libTIFF. Visualizar una imagen TIFF creada con fines malintencionados podría provocar la finalización inesperada de una aplicación o la ejecución arbitraria de código.

    ID de CVE

    CVE-2011-0192: Apple

  • libxml

    Disponible para: Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: el procesamiento de un archivo XML creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.

    Descripción: existía un problema de “double free” en la gestión de expresiones XPath por parte de libxml. El procesamiento de un archivo XML creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    ID de CVE

    CVE-2010-4494: Yang Dingning de NCNIPC, Universidad de Posgrados de la Academia China de las Ciencias

  • libxml

    Disponible para: Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: el procesamiento de un archivo XML creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.

    Descripción: existía un problema de corrupción de la memoria en la gestión de expresiones XPath por parte de libxml. El procesamiento de un archivo XML creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    ID de CVE

    CVE-2010-4008: Bui Quang Minh de Bkis (www.bkis.com)

  • WebKit

    Disponible para: Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: un ataque de intermediario puede provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario

    Descripción: existen varios problemas de corrupción de memoria en WebKit. Un ataque de intermediario mientras navega por iTunes Store a través de iTunes puede provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario.

    ID de CVE

    CVE-2010-1824: kuzzcc, y wushi de team509 en colaboración con la Zero Day Initiative de TippingPoint

    CVE-2011-0111: Sergey Glazunov

    CVE-2011-0112: Yuzo Fujishima de Google Inc.

    CVE-2011-0113: Andreas Kling de Nokia

    CVE-2011-0114: Chris Evans de Google Chrome Security Team

    CVE-2011-0115: J23 en colaboración con la Zero Day Initiative de TippingPoint, y Emil A Eklund de Google, Inc

    CVE-2011-0116: un investigador anónimo en colaboración con la Zero Day Initiative de TippingPoint

    CVE-2011-0117: Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0118: Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0119: Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0120: Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0121: Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0122: Slawomir Blazek

    CVE-2011-0123: Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0124: Yuzo Fujishima de Google Inc.

    CVE-2011-0125: Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0126: Mihai Parparita de Google, Inc.

    CVE-2011-0127: Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0128: David Bloom

    CVE-2011-0129: Famlam

    CVE-2011-0130: Apple

    CVE-2011-0131: wushi de team509

    CVE-2011-0132: wushi de team509 en colaboración con la Zero Day Initiative de TippingPoint

    CVE-2011-0133: wushi de team509 en colaboración con la Zero Day Initiative de TippingPoint

    CVE-2011-0134: Jan Tosovsky

    CVE-2011-0135: un investigador anónimo

    CVE-2011-0136: Sergey Glazunov

    CVE-2011-0137: Sergey Glazunov

    CVE-2011-0138: kuzzcc

    CVE-2011-0139: kuzzcc

    CVE-2011-0140: Sergey Glazunov

    CVE-2011-0141: Chris Rohlf de Matasano Security

    CVE-2011-0142: Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0143: Slawomir Blazek y Sergey Glazunov

    CVE-2011-0144: Emil A Eklund de Google, Inc.

    CVE-2011-0145: Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0146: Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0147: Dirk Schulze

    CVE-2011-0148: Michal Zalewski de Google, Inc.

    CVE-2011-0149: wushi de team509 en colaboración con la Zero Day Initiative de TippingPoint, y SkyLined de Google Chrome Security Team

    CVE-2011-0150: Michael Gundlach de safariadblock.com

    CVE-2011-0151: Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0152: SkyLined de Google Chrome Security Team

    CVE-2011-0153: Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0154: un investigador anónimo en colaboración con la Zero Day Initiative de TippingPoint

    CVE-2011-0155: Aki Helin de OUSPG

    CVE-2011-0156: Abhishek Arya (Inferno) de Google, Inc.

    CVE-2011-0165: Sergey Glazunov

    CVE-2011-0168: Sergey Glazunov

Importante: La mención de sitios web y productos de terceros es solo para fines informativos y no constituye ni aprobación ni recomendación. Apple no asume ninguna responsabilidad con respecto a la selección, el rendimiento o el uso de la información o los productos que aparecen en sitios web de terceros. Apple proporciona esta información solo para comodidad de nuestros usuarios. Apple no ha probado la información incluida en estos sitios web y no se responsabiliza de su precisión o fiabilidad. Siempre existen riesgos inherentes al uso de cualquier información o producto que se encuentre en internet, y Apple no asume ninguna responsabilidad al respecto. Debes comprender que el sitio web de un tercero es independiente de Apple y que Apple no tiene control sobre su contenido. Por favor, contacta con el proveedor para obtener más información.

Fecha de publicación: