Tietoja iTunes 10.2:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan iTunes 10.2:n turvallisuussisällöstä.
Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
iTunes 10.2
ImageIO
Saatavuus: Windows 7, Vista, XP SP2 ja uudemmat
Vaikutus: libpng:ssä oli useita haavoittuvuuksia.
Kuvaus: Useita haavoittuvuuksia on korjattu päivittämällä libpng versioon 1.4.3. Haavoittuvuuksista vakavimmat saattoivat mahdollistaa mielivaltaisen koodin suorittamisen. Mac OS X 10.5 ‑järjestelmien osalta tämä ongelma on ratkaistu suojauspäivityksessä 2010-007. Lisätietoja on libpng-verkkosivustolla osoitteessa http://www.libpng.org/pub/png/libpng.html
CVE-ID
CVE-2010-1205
CVE-2010-2249
ImageIO
Saatavuus: Windows 7, Vista, XP SP2 ja uudemmat
Vaikutus: haitallisen JPEG-kuvan katsominen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.
Kuvaus: ImageIO:n JPEG-kuvien käsittelyssä oli kekopuskurin ylivuotoon liittyvä ongelma. Haitallisen JPEG-kuvan katsominen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
CVE-ID
CVE-2011-0170: Andrzej Dyjak (iDefense VCP)
ImageIO
Saatavuus: Windows 7, Vista, XP SP2 ja uudemmat
Vaikutus: haitallisen XBM-kuvan avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.
Kuvaus: ImageIO:n XBM-kuvien käsittelyssä oli kokonaisluvun ylivuotoon liittyvä ongelma. Haitallisen XBM-kuvan katsominen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
CVE-ID
CVE-2011-0181: Harry Sintonen
ImageIO
Saatavuus: Windows 7, Vista, XP SP2 ja uudemmat
Vaikutus: haitallisen TIFF-kuvan avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.
Kuvaus: libTIFF:n JPEG-koodattujen TIFF-kuvien käsittelyssä oli puskurin ylivuoto. Haitallisen TIFF-kuvan katsominen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
CVE-ID
CVE-2011-0191: Apple
ImageIO
Saatavuus: Windows 7, Vista, XP SP2 ja uudemmat
Vaikutus: haitallisen TIFF-kuvan avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.
Kuvaus: libTIFF:n CCITT Group 4 ‑koodattujen TIFF-kuvien käsittelyssä oli puskurin ylivuoto. Haitallisen TIFF-kuvan katsominen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
CVE-ID
CVE-2011-0192: Apple
libxml
Saatavuus: Windows 7, Vista, XP SP2 ja uudemmat
Vaikutus: haitallisen XML-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.
Kuvaus: libxml:n XPath-lausekkeiden käsittelyssä oli double free ‑ongelma. Haitallisen XML-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
CVE-ID
CVE-2010-4494: Yang Dingning (NCNIPC, Graduate University of Chinese Academy of Sciences)
libxml
Saatavuus: Windows 7, Vista, XP SP2 ja uudemmat
Vaikutus: haitallisen XML-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.
Kuvaus: libxml:n XPath-käsittelyssä oli muistin vioittumisongelma. Haitallisen XML-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
CVE-ID
CVE-2010-4008: Bui Quang Minh (Bkis, www.bkis.com)
WebKit
Saatavuus: Windows 7, Vista, XP SP2 ja uudemmat
Vaikutus: väliintulohyökkäys saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: WebKitissä oli useita muistinvioittumisongelmia. Kun iTunes Storea selattiin iTunesin kautta, väliintulohyökkäys saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
CVE-ID
CVE-2010-1824: kuzzcc sekä wushi (team509) yhteistyössä TippingPointin Zero Day Initiativen kanssa
CVE-2011-0111: Sergey Glazunov
CVE-2011-0112: Yuzo Fujishima (Google Inc.)
CVE-2011-0113: Andreas Kling (Nokia)
CVE-2011-0114: Chris Evans (Google Chrome Security Team)
CVE-2011-0115: J23 yhteistyössä TippingPointin Zero Day Initiativen kanssa ja Emil A Eklund (Google Inc.)
CVE-2011-0116: nimetön tutkija yhteistyössä TippingPointin Zero Day Initiativen kanssa
CVE-2011-0117: Abhishek Arya (Inferno, Google Inc.)
CVE-2011-0118: Abhishek Arya (Inferno, Google Inc.)
CVE-2011-0119: Abhishek Arya (Inferno, Google Inc.)
CVE-2011-0120: Abhishek Arya (Inferno, Google Inc.)
CVE-2011-0121: Abhishek Arya (Inferno, Google Inc.)
CVE-2011-0122: Slawomir Blazek
CVE-2011-0123: Abhishek Arya (Inferno, Google Inc.)
CVE-2011-0124: Yuzo Fujishima (Google Inc.)
CVE-2011-0125: Abhishek Arya (Inferno, Google Inc.)
CVE-2011-0126: Mihai Parparita (Google, Inc.)
CVE-2011-0127: Abhishek Arya (Inferno, Google Inc.)
CVE-2011-0128: David Bloom
CVE-2011-0129: Famlam
CVE-2011-0130: Apple
CVE-2011-0131: wushi (team509)
CVE-2011-0132: wushi (team509) yhteistyössä TippingPointin Zero Day Initiativen kanssa
CVE-2011-0133: wushi (team509) yhteistyössä TippingPointin Zero Day Initiativen kanssa
CVE-2011-0134: Jan Tosovsky
CVE-2011-0135: nimetön ilmoittaja
CVE-2011-0136: Sergey Glazunov
CVE-2011-0137: Sergey Glazunov
CVE-2011-0138: kuzzcc
CVE-2011-0139: kuzzcc
CVE-2011-0140: Sergey Glazunov
CVE-2011-0141: Chris Rohlf (Matasano Security)
CVE-2011-0142: Abhishek Arya (Inferno, Google Inc.)
CVE-2011-0143: Slawomir Blazek ja Sergey Glazunov
CVE-2011-0144: Emil A Eklund (Google Inc.)
CVE-2011-0145: Abhishek Arya (Inferno, Google Inc.)
CVE-2011-0146: Abhishek Arya (Inferno, Google Inc.)
CVE-2011-0147: Dirk Schulze
CVE-2011-0148: Michal Zalewski (Google Inc.)
CVE-2011-0149: wushi (team509) yhteistyössä TippingPointin Zero Day Initiativen kanssa ja SkyLined (Google Chrome Security Team)
CVE-2011-0150: Michael Gundlach (safariadblock.com)
CVE-2011-0151: Abhishek Arya (Inferno, Google Inc.)
CVE-2011-0152: SkyLined (Google Chrome Security Team)
CVE-2011-0153: Abhishek Arya (Inferno, Google Inc.)
CVE-2011-0154: nimetön tutkija yhteistyössä TippingPointin Zero Day Initiativen kanssa
CVE-2011-0155: Aki Helin (OUSPG)
CVE-2011-0156: Abhishek Arya (Inferno, Google Inc.)
CVE-2011-0165: Sergey Glazunov
CVE-2011-0168: Sergey Glazunov
Tärkeää: Maininta kolmansien osapuolten verkkosivustoista ja tuotteista on tarkoitettu vain tiedotustarkoituksiin, eikä sitä tule ymmärtää suosituksena. Apple ei ole vastuussa kolmansien osapuolten verkkosivustoilla olevien tietojen tai tuotteiden valinnasta, suorituskyvystä tai käytöstä. Apple tarjoaa tämän käyttäjille vain tiedotustarkoituksiin. Apple ei ole testannut näillä sivustoilla olevia tietoja eikä ole vastuussa niiden tarkkuudesta tai luotettavuudesta. Internetissä olevien tietojen tai tuotteiden käyttöön liittyy riskejä, eikä Apple ole vastuussa niiden käyttöön liittyvistä riskeistä. Huomaa, että kolmannen osapuolen sivusto on riippumaton Applesta eikä Apple voi hallita kyseisen sivuston sisältöä. Lisätietoja saat toimittajalta.