Ovaj je članak arhiviran i Apple ga više ne ažurira.

Informacije o sigurnosnom sadržaju aplikacije iTunes 9.1.

U ovom se dokumentu opisuje sigurnosni sadržaj aplikacije iTunes 9.1.

Radi zaštite svojih klijenata tvrtka Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do provođenja cjelovite istrage te dok potrebne zakrpe i izdanja ne postanu dostupni. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu „Upotreba PGP ključa za sigurnost Appleovih proizvoda."

Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.

Da biste saznali više o sigurnosnim ažuriranjima, posjetite web-mjesto „Appleova sigurnosna ažuriranja."

iTunes 9.1

  • ColorSync

    CVE-ID: CVE-2010-0040

    Dostupno za: Windows 7, Vista, XP

    Učinak: prikaz zlonamjerno stvorene slike s ugrađenim profilom boja može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: pri rukovanju slikama s ugrađenim profilom boja postoji prekoračenje cijelih brojeva, što može dovesti do prekoračenja međuspremnika skupa. Otvaranje zlonamjerne slike s ugrađenim profilom boja može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem se rješava izvođenjem dodatne provjere valjanosti profila boja. Problem ne utječe na sustave Mac OS X. Na prijavi tog problema zahvaljujemo Sebastienu Renaudu iz tima za istraživanje ranjivosti (VUPEN).

  • ImageIO

    CVE-ID: CVE-2009-2285

    Dostupno za: Windows 7, Vista, XP

    Učinak: prikaz zlonamjerne TIFF slike može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: postoji podcjenjivanje u načinu na koji ImageIO rukuje TIFF slikama. Prikaz zlonamjerne TIFF slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Taj je problem riješen poboljšanom provjerom ograničenja. Za sustave Mac OS X v10.6 ovaj je problem riješen u izdanju Mac OS X v10.6.2. Za sustave Mac OS X v10.5 ovaj je problem riješen u sigurnosnom ažuriranju 2010-001.

  • ImageIO

    CVE-ID: CVE-2010-0041

    Dostupno za: Windows 7, Vista, XP

    Učinak: posjet zlonamjernom web-mjestu može rezultirati slanjem podataka iz memorije preglednika Safari web-mjestu

    Opis: postoji problem s pristupom neinicijaliziranoj memoriji u načinu na koji ImageIO rukuje slikama u BMP formatu. Posjet zlonamjernom web-mjestu može rezultirati slanjem podataka iz memorije preglednika Safari web-mjestu. Problem je riješen poboljšanim rukovanjem memorije i dodatnom provjerom valjanosti slika u BMP formatu. Za sustave Mac OS X v10.6 problem je riješen u verziji Mac OS X v10.6.3. Za sustave Mac OS X v10.5 problem je riješen u sigurnosnom ažuriranju 2010-002. Na prijavi tog problema zahvaljujemo Matthewu 'j00ru' Jurczyku iz tvrtke Hispasec.

  • ImageIO

    CVE-ID: CVE-2010-0042

    Dostupno za: Windows 7, Vista, XP

    Učinak: posjet zlonamjernom web-mjestu može rezultirati slanjem podataka iz memorije preglednika Safari web-mjestu

    Opis: postoji problem s pristupom neinicijaliziranoj memoriji u načinu na koji ImageIO rukuje TIFF slikama. Posjet zlonamjernom web-mjestu može rezultirati slanjem podataka iz memorije preglednika Safari web-mjestu. Problem je riješen poboljšanim rukovanjem memorijom i dodatnom provjerom valjanosti TIFF slika. Za sustave Mac OS X v10.6 problem je riješen u verziji Mac OS X v10.6.3. Za sustave Mac OS X v10.5 problem je riješen u sigurnosnom ažuriranju 2010-002. Na prijavi tog problema zahvaljujemo Matthewu 'j00ru' Jurczyku iz tvrtke Hispasec.

  • ImageIO

    CVE-ID: CVE-2010-0043

    Dostupno za: Windows 7, Vista, XP

    Učinak: obrada zlonamjerno stvorene slike u TIFF formatu može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: problem s oštećenjem memorije postoji u načinu na koji se rukuje TIFF slikama. Obrada zlonamjerne TIFF slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem je riješen poboljšanim rukovanjem memorijom. Za sustave Mac OS X v10.6 problem je riješen u verziji Mac OS X v10.6.3. Ovaj problem ne utječe na verzije sustava starije od Mac OS X v10.6. Na prijavi problema zahvaljujemo Gusu Muelleru iz tvrtke Flying Meat.

  • iTunes

    CVE-ID: CVE-2010-0531

    Dostupno za: Mac OS X v10.4.11 ili noviji, Mac OS X Server v10.4.11 ili noviji, Windows 7, Vista, XP

    Učinak: uvoz zlonamjerno stvorene MP4 datoteke može dovesti do uskraćivanja usluge

    Opis: postoji problem beskonačne petlje u načinu rukovanja MP4 datotekama. Zlonamjerno stvoreni podcast možda će moći uzrokovati beskonačnu petlju na servisu iTunes i spriječiti rukovanje servisom čak i nakon ponovnog pokretanja. Problem je riješen poboljšanom provjerom valjanosti MP4 datoteka. Na prijavi problema zahvaljujemo Sojeong Hong iz tvrtke Sourcefire VRT.

  • iTunes

    CVE-ID: CVE-2010-0532

    Dostupno za: Windows 7, Vista, XP

    Učinak: lokalni korisnik možda će moći dobiti pristup ovlastima sustava tijekom instalacije servisa iTunes

    Opis: postoji problem s prosljeđivanjem ovlasti u instalacijskom paketu servisa iTunes za Windows. Tijekom postupka instalacije uvjet nadmetanja može omogućiti lokalnom korisniku da izmijeni datoteku koja se zatim izvršava s ovlastima sustava. Problem je riješen poboljšanim kontrolama pristupa za instalacijske datoteke. Problem ne utječe na sustave Mac OS X. Na prijavi problema zahvaljujemo Jasonu Geffneru iz tvrtke NGSSoftware.

  • iTunes

    CVE-ID: CVE-2010-1768

    Dostupno za: Mac OS X v10.4.11 ili noviji, Mac OS X Server v10.4.11 ili noviji

    Učinak: sinkroniziranje mobilnog uređaja lokalnom korisniku može omogućiti da dobije veće ovlasti

    Opis: postoji nesigurna operacija s datotekom u načinu rukovanja datotekama zapisnika za mobilne uređaje. Sinkroniziranje iPhone, iPad ili iPod touch uređaja može omogućiti lokalnom korisniku da dobije ovlasti korisnika konzole. Problem je riješen poboljšanim rukovanjem datotekama zapisnika. Na prijavi problema zahvaljujemo Jonu Passkiju i Nicolasu Seriotu iz tvrtke HEIG-VD.

  • iTunes

    CVE-ID: CVE-2010-1795

    Dostupno za: Windows 7, Vista, XP

    Učinak: otvaranje datoteke u zlonamjerno pripremljenom direktoriju može dovesti do izvršavanja proizvoljnog koda

    Opis: postoji problem s pretraživanjem putanje u servisu iTunes. iTunes će tražiti specifični DLL u trenutačnom radnom direktoriju. Ako netko postavi zlonamjerno stvorenu datoteku sa specifičnim nazivom u direktorij, otvaranje druge datoteke u tom direktoriju u servisu iTunes može dovesti do izvršavanja proizvoljnog koda. Problem je riješen uklanjanjem koda koji koristi DLL. Problem ne utječe na sustave Mac OS X. Na prijavi problema zahvaljujemo Simonu Raneru iz tvrtke ACROS Security.

Važno: informacije o proizvodima koje ne proizvodi Apple samo su informativne naravi i ne predstavljaju Appleovo odobravanje ni preporuku. Obratite se dobavljaču za više informacija.

Datum objave: