מידע על תוכן האבטחה של iTunes 10.5
מסמך זה מתאר את תוכן האבטחה של iTunes 10.5.
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד לביצוע חקירה מלאה בנושא ולהפצת מהדורות או רכיבי Patch חיוניים. למידע נוסף בנושא אבטחת מוצר של Apple, עיינו באתר האינטרנט אבטחת מוצר של Apple.
למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו בנושא כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple.
היכן שניתן, מזהי CVE משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.
כדי ללמוד על עדכוני אבטחה נוספים, עיינו בנושא עדכוני אבטחה של Apple.
iTunes 10.5
CoreFoundation
זמין עבור: Windows בגרסאות 7, Vista, XP SP2 ואילך.
השפעה: התקפה מסוג 'אדם בתווך' עלולה להוביל לסגירה בלתי צפויה של יישום או להפעלת קוד שרירותי.
תיאור: הייתה בעיה של השחתת זיכרון בטיפול ביצירת אסימון של מחרוזת. בעיה זו אינה משפיעה על מערכות OS X Lion. עבור מערכות Mac OS X v10.6, בעיה זו מטופלת בעדכון אבטחה 2011-006.
CVE-ID
CVE-2011-0259 : Apple.
ColorSync
זמין עבור: Windows בגרסאות 7, Vista, XP SP2 ואילך.
השפעה: הצגת תמונה עם פרופיל ColorSync מוטבע בעלת מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי.
תיאור: הייתה גלישה נומרית בטיפול בתמונות עם פרופיל ColorSync מוטבע, ומצב זה עלול להוביל לגלישת חוצץ בערימה. הצגת תמונה בעלת מבנה זדוני עם פרופיל ColorSync מוטבע עלולה לגרום לסגירה לא צפויה של היישום או להפעלת קוד שרירותי. בעיה זו אינה משפיעה על מערכות OS X Lion.
CVE-ID
CVE-2011-0200 : binaryproof בעבודה עם Zero Day Initiative של TippingPoint.
CoreAudio
זמין עבור: Windows בגרסאות 7, Vista, XP SP2 ואילך.
השפעה: הפעלת תוכן שמע בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי.
תיאור: הייתה גלישת חוצץ בערימה בטיפול בהזרמת שמע מקודדת עם קוד השמע המתקדם. בעיה זו אינה משפיעה על מערכות OS X Lion.
CVE-ID
CVE-2011-3252 : Luigi Auriemma בעבודה עם Zero Day Initiative של TippingPoint.
CoreMedia
זמין עבור: Windows בגרסאות 7, Vista, XP SP2 ואילך.
השפעה: הצגת קובץ סרט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי.
תיאור: אירעה גלישת חוצץ בעת טיפול בקובצי סרטים עם קידוד H.264. עבור מערכות OS X Lion, בעיה זו מטופלת ב-OS X Lion v10.7.2. עבור מערכות Mac OS X v10.6, בעיה זו מטופלת בעדכון אבטחה 2011-006.
CVE-ID
CVE-2011-3219: Damian Put בעבודה עם Zero Day Initiative של TippingPoint.
ImageIO
זמין עבור: Windows בגרסאות 7, Vista, XP SP2 ואילך.
השפעה: הצגת תמונת TIFF בעלת מבנה זדוני עלולה להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי.
תיאור: הייתה גלישת חוצץ בערימה בטיפול של ImageIO בתמונות TIFF. בעיה זו אינה משפיעה על מערכות OS X Lion. עבור מערכות Mac OS X v10.6, בעיה זו טופלה ב-Mac OS X v10.6.8.
CVE-ID
CVE-2011-0204: Dominic Chell מ-NGS Secure.
ImageIO
זמין עבור: Windows בגרסאות 7, Vista, XP SP2 ואילך.
השפעה: הצגת תמונת TIFF בעלת מבנה זדוני עלולה להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי.
תיאור: הייתה בעיית חוזים חכמים (reentrancy) בטיפול של ImageIO בתמונות TIFF. בעיה זו אינה משפיעה על מערכות Mac OS X.
CVE-ID
CVE-2011-0215: Juan Pablo Lopez Yacubian בעבודה עם iDefense VCP.
WebKit
זמין עבור: Windows בגרסאות 7, Vista, XP SP2 ואילך
השפעה: התקפה מסוג 'אדם בתווך' בעת הגלישה ב-iTunes Store דרך iTunes עלולה להוביל לסגירה בלתי צפויה של יישום או להפעלת קוד שרירותי.
תיאור: בעיות מרובות של השחתת זיכרון היו קיימות ב-WebKit.
CVE-ID
CVE-2010-1823 : David Weston מ-Microsoft ו-Microsoft Vulnerability Research (MSVR), wushi מ-team509, ו-Yong Li מ-Research In Motion Ltd.
CVE-2011-0164: Apple.
CVE-2011-0218: SkyLined מ-Google Chrome Security Team.
CVE-2011-0221: אבישק אריה (Inferno) מ-Google Chrome Security Team.
CVE-2011-0222: ניקיטה טראקאנוב ואלכס בז'אניוק מ-CISS Research Team, ואבישק אריה (Inferno) מ-Google Chrome Security Team.
CVE-2011-0223: Jose A. Vazquez מ-spa-s3c.blogspot.com בעבודה עם iDefense VCP.
CVE-2011-0225: אבישק אריה (Inferno) מ-Google Chrome Security Team.
CVE-2011-0232: J23 יחד עם Zero Day Initiative של TippingPoint.
CVE-2011-0233: wushi מ-team509 יחד עם Zero Day Initiative של TippingPoint.
CVE-2011-0234: Rob King בעבודה עם Zero Day Initiative של TippingPoint, wushi מ-team509 בעבודה עם Zero Day Initiative של TippingPoint, wushi מ-team509 בעבודה עם with iDefense VCP.
CVE-2011-0235: אבישק אריה (Inferno) מ-Google Chrome Security Team.
CVE-2011-0237: wushi מ-team509 בעבודה עם iDefense VCP.
CVE-2011-0238: אדם בארת מ-Google Chrome Security Team.
CVE-2011-0240: wushi מ-team509 בעבודה עם iDefense VCP.
CVE-2011-0253: Richard Keen.
CVE-2011-0254: חוקר אנונימי שעובד עם Zero Day Initiative של TippingPoint.
CVE-2011-0255: חוקר אנונימי שעובד עם Zero Day Initiative של TippingPoint.
CVE-2011-0981: Rik Cabanier מ-Adobe Systems, Inc.
CVE-2011-0983: Martin Barbella.
CVE-2011-1109: סרגיי גלזונוב.
CVE-2011-1114: מרטין ברבלה.
CVE-2011-1115: מרטין ברבלה.
CVE-2011-1117: wushi מ-team509.
CVE-2011-1121: miaubiz.
CVE-2011-1188: מרטין ברבלה.
CVE-2011-1203: סרגיי גלזונוב.
CVE-2011-1204: סרגיי גלזונוב.
CVE-2011-1288: אנדראס קלינג מ-Nokia.
CVE-2011-1293: סרגיי גלזונוב.
CVE-2011-1296: סרגיי גלזונוב.
CVE-2011-1440: Jose A. Vazquez מ-spa-s3c.blogspot.com.
CVE-2011-1449: מארק מייקובסקי.
CVE-2011-1451: סרגיי גלזונוב.
CVE-2011-1453: wushi מ-team509 יחד עם Zero Day Initiative של TippingPoint.
CVE-2011-1457: ג'ון נוטנבלט מ-Google.
CVE-2011-1462: wushi מ-team509.
CVE-2011-1797: wushi מ-team509.
CVE-2011-2338: אבישק אריה (Inferno) מ-Google Chrome Security Team.
CVE-2011-2339: כריס נקאר מ-Google Chrome Security Team.
CVE-2011-2341: Apple.
CVE-2011-2351: miaubiz.
CVE-2011-2352: Apple.
CVE-2011-2354: Apple.
CVE-2011-2356: אדם בארת ואבישק אריה מ-Google Chrome Security Team באמצעות AddressSanitizer.
CVE-2011-2359: miaubiz.
CVE-2011-2788: מיקולאי מאלצקי מ-Samsung.
CVE-2011-2790: miaubiz.
CVE-2011-2792: miaubiz.
CVE-2011-2797: miaubiz.
CVE-2011-2799: miaubiz.
CVE-2011-2809: אבישק אריה (Inferno) מ-Google Chrome Security Team.
CVE-2011-2811: Apple.
CVE-2011-2813: כריס נקאר מ-Google Chrome Security Team באמצעות AddressSanitizer.
CVE-2011-2814: אבישק אריה (Inferno) מ-Google Chrome Security Team.
CVE-2011-2815: SkyLined מ-Google Chrome Security Team.
CVE-2011-2816: Apple.
CVE-2011-2817: אבישק אריה (Inferno) מ-Google Chrome Security Team.
CVE-2011-2818: מרטין ברבלה.
CVE-2011-2820: רמאן טנטי ופיליפ רוג'רס מ-Google.
CVE-2011-2823: SkyLined מ-Google Chrome Security Team.
CVE-2011-2827: miaubiz.
CVE-2011-2831: אבישק אריה (Inferno) מ-Google Chrome Security Team.
CVE-2011-3232: אקי הלין מ-OUSPG.
CVE-2011-3233: Sadrul Habib Chowdhury מקהילת הפיתוח של Chromium, Cris Neckar ו-Abhishek Arya (Inferno) מ-Google Chrome Security Team.
CVE-2011-3234: miaubiz.
CVE-2011-3235: דמיטרי גלאזקוב, קנט טאמורה, דומיניק קוני מקהילת הפיתוח של Chromium, ואבישק אריה (Inferno) מ-Google Chrome Security Team.
CVE-2011-3236: אבישק אריה (Inferno) מ-Google Chrome Security Team.
CVE-2011-3237: דמיטרי גלאזקוב, קנט טאמורה, דומיניק קוני מקהילת הפיתוח של Chromium ואבישק אריה (Inferno) מ-Google Chrome Security Team.
CVE-2011-3238: Martin Barbella.
CVE-2011-3239: Slawomir Blazek.
CVE-2011-3241: Apple.
CVE-2011-3244: vkouchna.
WebKit
זמין עבור: Windows בגרסאות 7, Vista, XP SP2 ואילך.
השפעה: התקפה מסוג 'אדם בתווך' עלולה להוביל להפעלת קוד שרירותי.
תיאור: הייתה בעיית תצורה בשימוש של WebKit ב-libxslt. התקפה מסוג 'אדם בתווך' בעת הגלישה ב-iTunes Store דרך iTunes עלולה להוביל ליצירת קבצים שרירותיים עם ההרשאות של המשתמש, וכתוצאה מכך להפעלת קוד שרירותי. בעיה זו מטופלת באמצעות הגדרות אבטחה משופרות של libxslt.
CVE-ID
CVE-2011-1774: Nicolas Gregoire מ-Agarri.
חשוב: אזכור של אתרים ומוצרים של צד שלישי מיועד למטרות מידע בלבד ואינו מהווה המלצה או תמיכה. Apple אינה נוטלת על עצמה כל אחריות בנוגע לבחירה, לביצועים או לשימוש במידע או במוצרים שנמצאים באתרי צד שלישי. Apple מספקת זאת רק לנוחות המשתמשים שלנו. Apple לא בדקה את המידע שנמצא באתרים אלה ולא הציגה שום מצג לגבי הדיוק או האמינות שלו. קיימים סיכונים הטמונים בשימוש במידע או במוצרים הנמצאים באינטרנט, ו-Apple אינה נוטלת על עצמה כל אחריות בנושא זה. עליכם להבין שאתר של צד שלישי אינו תלוי ב-Apple ושל-Apple אין שליטה על התוכן באתר זה. יש ליצור קשר עם הספק לקבלת מידע נוסף.