Acerca del contenido de seguridad de iTunes 9.1

Este documento describe el contenido de seguridad de iTunes 9.1.

Con la finalidad de proteger a nuestros clientes, Apple no revela, discute ni confirma problemas de seguridad hasta que se ha realizado una investigación exhaustiva y están disponibles todas las revisiones y actualizaciones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta "Cómo utilizar la clave PGP de seguridad de los productos de Apple".

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables con la finalidad de obtener más información.

Para obtener información acerca de otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".

iTunes 9.1

  • ColorSync

    CVE-ID: CVE-2010-0040

    Disponible para: Windows 7, Vista, XP

    Impacto: la visualización de una imagen creada con fines malintencionados con un perfil de color integrado puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    Descripción: existe un desbordamiento de enteros en el manejo de imágenes con perfil de color incrustado que podría provocar un desbordamiento del búfer de montones. La apertura de una imagen creada con fines malintencionados con un perfil de color integrado puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Este problema se ha solucionado mediante la comprobación adicional de los perfiles de color. Este problema no afecta a los sistemas Mac OS X. Gracias a Sebastien Renaud, del VUPEN Vulnerability Research Team, por informar sobre este problema.

  • ImageIO

    CVE-ID: CVE-2009-2285

    Disponible para: Windows 7, Vista, XP

    Impacto: la visualización de una imagen TIFF creada con fines malintencionados puede provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario.

    Descripción: existe un subdesbordamiento de búfer en el manejo de imágenes TIFF por parte de ImageIO. La visualización de una imagen TIFF creada con fines malintencionados puede provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario. Este problema se resuelve mejorando la comprobación de los límites. Para los sistemas Mac OS X v10.6, este problema queda resuelto en Mac OS X v10.6.2. Para los sistemas Mac OS X v10.5, este problema queda resuelto con la Actualización de seguridad 2010-001.

  • ImageIO

    CVE-ID: CVE-2010-0041

    Disponible para: Windows 7, Vista, XP

    Impacto: visitar un sitio web creado con fines malintencionados puede ocasionar el envío de datos desde la memoria de Safari al sitio web.

    Descripción: existe un problema de acceso a memoria no inicializada durante el procesamiento de imágenes BMP por parte de ImageIO. Visitar un sitio web creado con fines malintencionados puede ocasionar el envío de datos desde la memoria de Safari al sitio web. Este problema se soluciona mejorando la gestión de la memoria y con una validación adicional de las imágenes BMP. Para los sistemas Mac OS X v10.6, este problema se soluciona en Mac OS X v10.6.3. Para los sistemas Mac OS X v10.5, este problema se soluciona con la Actualización de seguridad 2010-002. Gracias a Matthew 'j00ru' Jurczyk, de Hispasec, por informar sobre este problema.

  • ImageIO

    CVE-ID: CVE-2010-0042

    Disponible para: Windows 7, Vista, XP

    Impacto: visitar un sitio web creado con fines malintencionados puede ocasionar el envío de datos desde la memoria de Safari al sitio web.

    Descripción: existe un problema de acceso a memoria no inicializada durante el procesamiento de imágenes TIFF por parte de ImageIO. Visitar un sitio web creado con fines malintencionados puede ocasionar el envío de datos desde la memoria de Safari al sitio web. Este problema se soluciona mejorando la gestión de la memoria y con una validación adicional de las imágenes TIFF. Para los sistemas Mac OS X v10.6, este problema se soluciona en Mac OS X v10.6.3. Para los sistemas Mac OS X v10.5, este problema se soluciona con la Actualización de seguridad 2010-002. Gracias a Matthew 'j00ru' Jurczyk, de Hispasec, por informar sobre este problema.

  • ImageIO

    CVE-ID: CVE-2010-0043

    Disponible para: Windows 7, Vista, XP

    Impacto: procesar una imagen TIFF creada con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.

    Descripción: se produce un error de corrupción de memoria al procesar imágenes TIFF. Procesar una imagen TIFF creada con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario. Este problema se resuelve mejorando la gestión de la memoria. Para los sistemas Mac OS X v10.6, este problema se resuelve en Mac OS X v10.6.3. Este problema no afecta a los sistemas anteriores a Mac OS X v10.6. Gracias a Gus Mueller, de Flying Meat, por informar sobre este problema.

  • iTunes

    CVE-ID: CVE-2010-0531

    Disponible para: Mac OS X v10.4.11 o posterior, Mac OS X Server v10.4.11 o posterior, Windows 7, Vista, XP

    Impacto: la importación de un archivo MP4 creado con fines malintencionados puede originar la denegación del servicio.

    Descripción: existe un problema de bucle infinito en la gestión de los archivos MP4. Un podcast creado con fines malintencionados podría causar un problema de bucle en iTunes y evitar su funcionamiento incluso después de volver a abrirlo. Este problema se soluciona mejorando la validación de los archivos MP4. Gracias a Sojeong Hong, de Sourcefire VRT, por informar sobre este problema.

  • iTunes

    CVE-ID: CVE-2010-0532

    Disponible para: Windows 7, Vista, XP

    Impacto: un usuario local podría obtener privilegios del sistema durante la instalación de iTunes.

    Descripción: existe un problema de escalado de privilegios en iTunes para el paquete de instalación de Windows. Durante el proceso de instalación, un estado de carrera puede permitir que un usuario local modifique un archivo que, a continuación, se ejecuta con privilegios de sistema. El problema se soluciona mediante controles de acceso mejorados para los archivos de instalación. Este problema no afecta a los sistemas Mac OS X. Gracias a Jason Geffner, de NGSSoftware, por informar sobre este problema.

  •  

    iTunes

    CVE-ID: CVE-2010-1768

    Disponible para: Mac OS X v10.4.11 o posterior, Mac OS X Server v10.4.11 o posterior

    Impacto: la sincronización de un dispositivo móvil puede permitir que un usuario local obtenga privilegios elevados.

    Descripción: hay una operación de archivos no segura en la gestión de archivos de registro para dispositivos móviles. La sincronización de un iPhone, iPad o iPod touch puede permitir que un usuario local obtenga los privilegios del usuario de la consola. Este problema se resuelve mediante la gestión mejorada de los archivos de registro. Gracias a Jon Passki y Nicolas Seriot, de HEIG-VD, por informar de este problema.

  •  

    iTunes

    CVE-ID: CVE-2010-1795

    Disponible para: Windows 7, Vista, XP

    Impacto: abrir un archivo en un directorio preparado con fines malintencionados puede provocar una ejecución de código arbitrario.

    Descripción: hay un problema de búsqueda de rutas en iTunes. iTunes intentará buscar un archivo DLL específico en el directorio de trabajo actual. Si alguien coloca un archivo diseñado con fines malintencionados con un nombre específico en un directorio y abre otro archivo en ese directorio de iTunes puede provocar una ejecución de código arbitrario. Este problema se resuelve mediante la eliminación del código usado por el archivo DLL. Este problema no afecta a los sistemas Mac OS X. Gracias a Simon Raner, de ACROS Security, por informar de este problema.

 

Fecha de publicación: