Tietoja iTunes 10.2:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan iTunes 10.2:n turvallisuussisällöstä.

Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

iTunes 10.2

  • ImageIO

    Saatavuus: Windows 7, Vista, XP SP2 ja uudemmat

    Vaikutus: libpng:ssä oli useita haavoittuvuuksia.

    Kuvaus: Useita haavoittuvuuksia on korjattu päivittämällä libpng versioon 1.4.3. Haavoittuvuuksista vakavimmat saattoivat mahdollistaa mielivaltaisen koodin suorittamisen. Mac OS X 10.5 ‑järjestelmien osalta tämä ongelma on ratkaistu suojauspäivityksessä 2010-007. Lisätietoja on libpng-verkkosivustolla osoitteessa http://www.libpng.org/pub/png/libpng.html

    CVE-ID

    CVE-2010-1205

    CVE-2010-2249

  • ImageIO

    Saatavuus: Windows 7, Vista, XP SP2 ja uudemmat

    Vaikutus: haitallisen JPEG-kuvan katsominen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.

    Kuvaus: ImageIO:n JPEG-kuvien käsittelyssä oli kekopuskurin ylivuotoon liittyvä ongelma. Haitallisen JPEG-kuvan katsominen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    CVE-ID

    CVE-2011-0170: Andrzej Dyjak (iDefense VCP)

  • ImageIO

    Saatavuus: Windows 7, Vista, XP SP2 ja uudemmat

    Vaikutus: haitallisen XBM-kuvan avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.

    Kuvaus: ImageIO:n XBM-kuvien käsittelyssä oli kokonaisluvun ylivuotoon liittyvä ongelma. Haitallisen XBM-kuvan katsominen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    CVE-ID

    CVE-2011-0181: Harry Sintonen

  • ImageIO

    Saatavuus: Windows 7, Vista, XP SP2 ja uudemmat

    Vaikutus: haitallisen TIFF-kuvan avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.

    Kuvaus: libTIFF:n JPEG-koodattujen TIFF-kuvien käsittelyssä oli puskurin ylivuoto. Haitallisen TIFF-kuvan katsominen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    CVE-ID

    CVE-2011-0191: Apple

  • ImageIO

    Saatavuus: Windows 7, Vista, XP SP2 ja uudemmat

    Vaikutus: haitallisen TIFF-kuvan avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.

    Kuvaus: libTIFF:n CCITT Group 4 ‑koodattujen TIFF-kuvien käsittelyssä oli puskurin ylivuoto. Haitallisen TIFF-kuvan katsominen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    CVE-ID

    CVE-2011-0192: Apple

  • libxml

    Saatavuus: Windows 7, Vista, XP SP2 ja uudemmat

    Vaikutus: haitallisen XML-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.

    Kuvaus: libxml:n XPath-lausekkeiden käsittelyssä oli double free ‑ongelma. Haitallisen XML-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    CVE-ID

    CVE-2010-4494: Yang Dingning (NCNIPC, Graduate University of Chinese Academy of Sciences)

  • libxml

    Saatavuus: Windows 7, Vista, XP SP2 ja uudemmat

    Vaikutus: haitallisen XML-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.

    Kuvaus: libxml:n XPath-käsittelyssä oli muistin vioittumisongelma. Haitallisen XML-tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    CVE-ID

    CVE-2010-4008: Bui Quang Minh (Bkis, www.bkis.com)

  • WebKit

    Saatavuus: Windows 7, Vista, XP SP2 ja uudemmat

    Vaikutus: väliintulohyökkäys saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitissä oli useita muistinvioittumisongelmia. Kun iTunes Storea selattiin iTunesin kautta, väliintulohyökkäys saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    CVE-ID

    CVE-2010-1824: kuzzcc sekä wushi (team509) yhteistyössä TippingPointin Zero Day Initiativen kanssa

    CVE-2011-0111: Sergey Glazunov

    CVE-2011-0112: Yuzo Fujishima (Google Inc.)

    CVE-2011-0113: Andreas Kling (Nokia)

    CVE-2011-0114: Chris Evans (Google Chrome Security Team)

    CVE-2011-0115: J23 yhteistyössä TippingPointin Zero Day Initiativen kanssa ja Emil A Eklund (Google Inc.)

    CVE-2011-0116: nimetön tutkija yhteistyössä TippingPointin Zero Day Initiativen kanssa

    CVE-2011-0117: Abhishek Arya (Inferno, Google Inc.)

    CVE-2011-0118: Abhishek Arya (Inferno, Google Inc.)

    CVE-2011-0119: Abhishek Arya (Inferno, Google Inc.)

    CVE-2011-0120: Abhishek Arya (Inferno, Google Inc.)

    CVE-2011-0121: Abhishek Arya (Inferno, Google Inc.)

    CVE-2011-0122: Slawomir Blazek

    CVE-2011-0123: Abhishek Arya (Inferno, Google Inc.)

    CVE-2011-0124: Yuzo Fujishima (Google Inc.)

    CVE-2011-0125: Abhishek Arya (Inferno, Google Inc.)

    CVE-2011-0126: Mihai Parparita (Google, Inc.)

    CVE-2011-0127: Abhishek Arya (Inferno, Google Inc.)

    CVE-2011-0128: David Bloom

    CVE-2011-0129: Famlam

    CVE-2011-0130: Apple

    CVE-2011-0131: wushi (team509)

    CVE-2011-0132: wushi (team509) yhteistyössä TippingPointin Zero Day Initiativen kanssa

    CVE-2011-0133: wushi (team509) yhteistyössä TippingPointin Zero Day Initiativen kanssa

    CVE-2011-0134: Jan Tosovsky

    CVE-2011-0135: nimetön ilmoittaja

    CVE-2011-0136: Sergey Glazunov

    CVE-2011-0137: Sergey Glazunov

    CVE-2011-0138: kuzzcc

    CVE-2011-0139: kuzzcc

    CVE-2011-0140: Sergey Glazunov

    CVE-2011-0141: Chris Rohlf (Matasano Security)

    CVE-2011-0142: Abhishek Arya (Inferno, Google Inc.)

    CVE-2011-0143: Slawomir Blazek ja Sergey Glazunov

    CVE-2011-0144: Emil A Eklund (Google Inc.)

    CVE-2011-0145: Abhishek Arya (Inferno, Google Inc.)

    CVE-2011-0146: Abhishek Arya (Inferno, Google Inc.)

    CVE-2011-0147: Dirk Schulze

    CVE-2011-0148: Michal Zalewski (Google Inc.)

    CVE-2011-0149: wushi (team509) yhteistyössä TippingPointin Zero Day Initiativen kanssa ja SkyLined (Google Chrome Security Team)

    CVE-2011-0150: Michael Gundlach (safariadblock.com)

    CVE-2011-0151: Abhishek Arya (Inferno, Google Inc.)

    CVE-2011-0152: SkyLined (Google Chrome Security Team)

    CVE-2011-0153: Abhishek Arya (Inferno, Google Inc.)

    CVE-2011-0154: nimetön tutkija yhteistyössä TippingPointin Zero Day Initiativen kanssa

    CVE-2011-0155: Aki Helin (OUSPG)

    CVE-2011-0156: Abhishek Arya (Inferno, Google Inc.)

    CVE-2011-0165: Sergey Glazunov

    CVE-2011-0168: Sergey Glazunov

Tärkeää: Maininta kolmansien osapuolten verkkosivustoista ja tuotteista on tarkoitettu vain tiedotustarkoituksiin, eikä sitä tule ymmärtää suosituksena. Apple ei ole vastuussa kolmansien osapuolten verkkosivustoilla olevien tietojen tai tuotteiden valinnasta, suorituskyvystä tai käytöstä. Apple tarjoaa tämän käyttäjille vain tiedotustarkoituksiin. Apple ei ole testannut näillä sivustoilla olevia tietoja eikä ole vastuussa niiden tarkkuudesta tai luotettavuudesta. Internetissä olevien tietojen tai tuotteiden käyttöön liittyy riskejä, eikä Apple ole vastuussa niiden käyttöön liittyvistä riskeistä. Huomaa, että kolmannen osapuolen sivusto on riippumaton Applesta eikä Apple voi hallita kyseisen sivuston sisältöä. Lisätietoja saat toimittajalta.

Julkaisupäivämäärä: