Tietoja iTunes 9.1:n turvallisuussisällöstä

Tässä asiakirjassa kuvataan iTunes 9.1:n turvallisuussisältö.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään viittaamaan haavoittuvuuksien lisätietoihin mahdollisuuksien mukaan.

Tietoja muista turvallisuuspäivityksistä on artikkelissa Applen turvallisuuspäivitykset.

iTunes 9.1

  • ColorSync

    CVE-ID: CVE-2010-0040

    Saatavilla seuraaviin käyttöjärjestelmiin: Windows 7, Windows Vista, Windows XP

    Vaikutus: Upotetun väriprofiilin sisältävän haitallisen kuvan näyttäminen voi johtaa sovelluksen odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: Upotetun väriprofiilin sisältävien kuvien käsittelyssä on kokonaisluvun ylivuoto, joka saattaa johtaa kekopuskurin ylivuotoon. Upotetun väriprofiilin sisältävän kuvan avaaminen voi johtaa sovelluksen odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen. Ongelma korjaantuu, kun suoritetaan ylimääräinen väriprofiilien tarkistus. Tämä ongelma ei koske Mac OS X -järjestelmiä. Kiitos VUPEN Vulnerability Research Team -ryhmän Sebastien Renaudille tämän ongelman ilmoittamisesta.

  • ImageIO

    CVE-ID: CVE-2009-2285

    Saatavilla seuraaviin käyttöjärjestelmiin: Windows 7, Windows Vista, Windows XP

    Vaikutus: Haitallisen TIFF-kuvan näyttäminen voi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: ImageIO:n TIFF-kuvien käsittelyssä on puskurin alivuoto. Haitallisen TIFF-kuvan näyttäminen voi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen. Tämä ongelma on korjattu rajojen parannetun tarkastuksen avulla. Mac OS X 10.6 -järjestelmissä ongelma on korjattu Mac OS X 10.6.2 -versiossa. Mac OS X 10.5 -järjestelmissä ongelman korjaa turvallisuuspäivitys 2010-001.

  • ImageIO

    CVE-ID: CVE-2010-0041

    Saatavilla seuraaviin käyttöjärjestelmiin: Windows 7, Windows Vista, Windows XP

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sen, että verkkosivustolle lähetetään tietoja Safarin muistista.

    Kuvaus: ImageIO-komponentin BMP-kuvien käsittelyssä esiintyy alustamattoman muistin käyttöön liittyvä ongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sen, että verkkosivustolle lähetetään tietoja Safarin muistista. Tämä ongelma on korjattu parannetulla muistin käsittelyllä ja BMP-kuvien lisätarkastuksella. Mac OS X 10.6 -järjestelmissä tämä ongelma on korjattu Mac OS X 10.6.3:ssa. Mac OS X 10.5 -järjestelmissä ongelman korjaa turvallisuuspäivitys 2010-002. Kiitos Hispasecin Matthew "j00ru" Jurczykille tämän ongelman ilmoittamisesta.

  • ImageIO

    CVE-ID: CVE-2010-0042

    Saatavilla seuraaviin käyttöjärjestelmiin: Windows 7, Windows Vista, Windows XP

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sen, että verkkosivustolle lähetetään tietoja Safarin muistista.

    Kuvaus: ImageIO-komponentin TIFF-kuvien käsittelyssä esiintyy alustamattoman muistin käyttöön liittyvä ongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sen, että verkkosivustolle lähetetään tietoja Safarin muistista. Tämä ongelma on korjattu parannetulla muistin käsittelyllä ja TIFF-kuvien lisätarkastuksella. Mac OS X 10.6 -järjestelmissä tämä ongelma on korjattu Mac OS X 10.6.3:ssa. Mac OS X 10.5 -järjestelmissä ongelman korjaa turvallisuuspäivitys 2010-002. Kiitos Hispasecin Matthew "j00ru" Jurczykille tämän ongelman ilmoittamisesta.

  • ImageIO

    CVE-ID: CVE-2010-0043

    Saatavilla seuraaviin käyttöjärjestelmiin: Windows 7, Windows Vista, Windows XP

    Vaikutus: Haitallisen TIFF-kuvan käsitteleminen voi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: TIFF-kuvien käsittelyyn liittyy muistin vioittumisongelma. Haitallisen TIFF-kuvan käsitteleminen voi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen. Tämä ongelma on korjattu parannetun muistin käsittelyn avulla. Mac OS X 10.6 -järjestelmissä tämä ongelma on korjattu Mac OS X 10.6.3:ssa. Tämä ongelma ei koske Mac OS X 10.6 -käyttöjärjestelmää vanhempia järjestelmiä. Kiitos Flying Meatin Gus Muellerille tämän ongelman ilmoittamisesta.

  • iTunes

    CVE-ID: CVE-2010-0531

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11 tai uudempi, Mac OS X Server 10.4.11 tai uudempi, Windows 7, Windows Vista, Windows XP

    Vaikutus: Haitallisen MP4-tiedoston tuonti saattaa johtaa palvelunestoon.

    Kuvaus: MP4-tiedostojen käsittelyssä on päättymättömään silmukkaan liittyvä ongelma. Haitallinen podcast saattaa pystyä aiheuttamaan päättymättömän silmukan iTunesissa ja estää iTunesin toiminnan jopa sen jälkeen, kun se on käynnistetty uudelleen. Tämä ongelma on ratkaistu MP4-tiedostojen parannetulla tarkastuksella. Kiitos Sourcefire VRT:n Sojeong Hongille tämän ongelman ilmoittamisesta.

  • iTunes

    CVE-ID: CVE-2010-0532

    Saatavilla seuraaviin käyttöjärjestelmiin: Windows 7, Windows Vista, Windows XP

    Vaikutus: Paikallinen käyttäjä saattaa pystyä hankkimaan järjestelmäoikeudet iTunesin asennuksen aikana.

    Kuvaus: iTunes for Windowsin asennuspaketissa on käyttöoikeuksien laajenemiseen liittyvä ongelma. Asennusprosessin aikana kilpailutilanne saattaa sallia paikallisen käyttäjän muuttaa tiedostoa, joka suoritetaan tämän jälkeen järjestelmäoikeuksilla. Ongelma on ratkaistu asennustiedostojen parannetulla käyttöoikeuksien valvonnalla. Tämä ongelma ei koske Mac OS X -järjestelmiä. Kiitos NGSSoftwaren Jason Geffnerille tämän ongelman ilmoittamisesta.

  •  

    iTunes

    CVE-ID: CVE-2010-1768

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11 tai uudempi, Mac OS X Server 10.4.11 tai uudempi

    Vaikutus: Mobiililaitteen synkronointi saattaa johtaa siihen, että paikallinen käyttäjä saa laajemmat käyttöoikeudet.

    Kuvaus: Mobiililaitteiden lokitiedostojen käsittelyssä on suojaamaton tiedostotoiminto. iPhonen, iPadin tai iPod touchin synkronointi saattaa johtaa siihen, että paikallinen käyttäjä saa konsolin käyttäjän käyttöoikeudet. Tämä ongelma on ratkaistu lokitiedostojen parannetulla käsittelyllä. Kiitos Jon Passkille ja HEIG-VD:n Nicolas Seriotille tämän ongelman ilmoittamisesta.

  •  

    iTunes

    CVE-ID: CVE-2010-1795

    Saatavilla seuraaviin käyttöjärjestelmiin: Windows 7, Windows Vista, Windows XP

    Vaikutus: Haitallisesti valmistellussa hakemistossa olevan tiedoston avaaminen saattaa johtaa mielivaltaiseen koodin suorittamiseen.

    Kuvaus: iTunesissa on polun etsintään liittyvä ongelma. iTunes etsii tiettyä DLL:ää nykyisestä työhakemistosta. Jos joku laittaa hakemistoon haitallisen tiedoston tietyllä nimellä, toisen kyseisessä hakemistossa olevan tiedoston avaaminen iTunesissa saattaa johtaa mielivaltaisen koodin suorittamiseen. Tämä ongelma on ratkaistu poistamalla se koodi, joka käyttää DLL:ää. Tämä ongelma ei koske Mac OS X -järjestelmiä. Kiitos ACROS Securityn Simon Ranerille tämän ongelman ilmoittamisesta.

 

Julkaisupäivämäärä: