Ovaj je članak arhiviran i Apple ga više ne ažurira.

Informacije o sigurnosnom sadržaju aplikacije iTunes 10.5

U ovom se dokumentu opisuje sigurnosni sadržaj aplikacije iTunes 10.5.

Da bi zaštitio korisnike, Apple ne otkriva, ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i javno ne ponudi zakrpe ili nova izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu Upotreba PGP ključa za sigurnost Appleovih proizvoda.

Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.

Da biste saznali više o sigurnosnim ažuriranjima pogledajte Appleova sigurnosna ažuriranja.

iTunes 10.5

  • CoreFoundation

    Dostupno za: Windows 7, Vista, XP SP2 ili novije.

    Utjecaj: man-in-the-middle napad može uzrokovati neočekivano zatvaranje aplikacije ili samovoljno izvršavanje koda.

    Opis: u načinu obrade tokenizacije niza postojao je problem s oštećenjem memorije. Problem ne utječe na sustave OS X Lion. Za sustave Mac OS X v10.6 problem je riješen u sigurnosnom ažuriranju 2011-006.

    CVE-ID

    CVE-2011-0259: Apple.

  • ColorSync

    Dostupno za: Windows 7, Vista, XP SP2 ili novije.

    Učinak: prikaz zlonamjerne slike s ugrađenim ColorSync profilom može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda.

    Opis: postojao je problem s preljevom cijelog broja u baratanju slikama s ColorSync profilom, što može uzrokovati preljev međuspremnika snopa. Otvaranje zlonamjerne slike s ugrađenim ColorSync profilom može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem ne utječe na sustave OS X Lion.

    CVE-ID

    CVE-2011-0200: binaryproof radi na TippingPoint-ovoj inicijativi Zero Day Initiative.

  • CoreAudio

    Dostupno za: Windows 7, Vista, XP SP2 ili novije.

    Utjecaj: reprodukcija zlonamjerno izrađenog audiosadržaja može uzrokovati neočekivano zatvaranje aplikacije ili samovoljno izvršavanje koda.

    Opis: postojao je problem s preljevom u baratanju audio-strujanjem kodiranim pomoću naprednog audio koda. Problem ne utječe na sustave OS X Lion.

    CVE-ID

    CVE-2011-3252: Luigi Auriemma koji radi na TippingPoint-ovoj inicijativi Zero Day Initiative.

  • CoreMedia

    Dostupno za: Windows 7, Vista, XP SP2 ili novije.

    Učinak: prikazivanje zlonamjerno stvorene filmske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda.

    Opis: postojao je problem s preljevom u baratanju H.264 kodiranim datotekama filmova. Za sustave OS X Lion problem je riješen u verziji OS X Lion v10.7.2. Za sustave Mac OS X v10.6 problem je riješen u sigurnosnom ažuriranju 2011-006.

    CVE-ID

    CVE-2011-3219: Damian Put koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint.

  • ImageIO

    Dostupno za: Windows 7, Vista, XP SP2 ili novije.

    Učinak: otvaranje zlonamjerne TIFF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda.

    Opis: postojao je problem preljeva međuspremnika snopa u baratanju TIFF slikama od strane programa ImageIO. Problem ne utječe na sustave OS X Lion. Za sustave Mac OS X v10.6, taj je problem riješen u verziji OS X v10.6.8.

    CVE-ID

    CVE-2011-0204: Dominic Chell iz tvrtke NGS Secure.

  • ImageIO

    Dostupno za: Windows 7, Vista, XP SP2 ili novije.

    Učinak: otvaranje zlonamjerne TIFF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda.

    Opis: postojao je problem reentrant rutine u baratanju TIFF slikama od strane programa ImageIO. Problem ne utječe na sustave Mac OS X.

    CVE-ID

    CVE-2011-0215: Juan Pablo Lopez Yacubian koji radi s programom iDefense VCP.

  • WebKit

    Dostupno za: Windows 7, Vista, XP SP2 ili novije

    Utjecaj: man-in-the-middle napad tijekom pregledavanja trgovine iTunes putem aplikacije iTunes može uzrokovati neočekivano zatvaranje aplikacije ili samovoljno izvršavanje koda.

    Opis: u WebKitu je otkriven veći broj problema s oštećenom memorijom.

    CVE-ID

    CVE-2010-1823: David Weston iz tvrtke Microsoft i programa Microsoft Vulnerability Research (MSVR), wushi iz tima team509 te Yong Li iz tvrtke Research In Motion Ltd.

    CVE-2011-0164: Apple.

    CVE-2011-0218: SkyLined iz tima za sigurnost preglednika Google Chrome.

    CVE-2011-0221: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome.

    CVE-2011-0222: Nikita Tarakanov i Alex Bazhanyuk iz istraživačkog tima CISS i Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome.

    CVE-2011-0223: Jose A. Vazquez iz tvrtke spa-s3c.blogspot.com koji radi s programom iDefense VCP.

    CVE-2011-0225: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome.

    CVE-2011-0232: J23 koji radi na inicijativi Zero Day Initiative tvrtke Tipping Point.

    CVE-2011-0233: wushi iz grupe team509, koja radi na inicijativi Zero Day Initiative tvrtke TippingPoint.

    CVE-2011-0234: Rob King koji radi s TippingPoint-ovom inicijativom Zero Day Initiative, wushi iz tima team509 koji radi s TippingPoint-ovom inicijativnom Zero Day Initiative, wushi iz tima team509 koji radi s programom iDefense VCP.

    CVE-2011-0235: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome.

    CVE-2011-0237: wushi iz tima team509 koji radi s programom iDefense VCP.

    CVE-2011-0238: Adam Barth iz tima za sigurnost preglednika Google Chrome.

    CVE-2011-0240: wushi iz tima team509 koji radi s programom iDefense VCP.

    CVE-2011-0253: Richard Keen.

    CVE-2011-0254: anonimni istraživač koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint.

    CVE-2011-0255: anonimni istraživač koji radi na TippingPoint-ovoj inicijativi Zero Day Initiative.

    CVE-2011-0981: Rik Cabanier iz tvrtke Adobe Systems, Inc.

    CVE-2011-0983: Martin Barbella.

    CVE-2011-1109: Sergey Glazunov.

    CVE-2011-1114: Martin Barbella.

    CVE-2011-1115: Martin Barbella.

    CVE-2011-1117: wushi iz grupe team509.

    CVE-2011-1121: miaubiz.

    CVE-2011-1188: Martin Barbella.

    CVE-2011-1203: Sergey Glazunov.

    CVE-2011-1204: Sergey Glazunov.

    CVE-2011-1288: Andreas Kling iz tvrtke Nokia.

    CVE-2011-1293: Sergey Glazunov.

    CVE-2011-1296: Sergey Glazunov.

    CVE-2011-1440: Jose A. Vazquez iz tvrtke spa-s3c.blogspot.com.

    CVE-2011-1449: Marek Majkowski.

    CVE-2011-1451: Sergey Glazunov.

    CVE-2011-1453: wushi iz grupe team509, koja radi na inicijativi Zero Day Initiative tvrtke TippingPoint.

    CVE-2011-1457: John Knottenbelt iz Googlea.

    CVE-2011-1462: wushi iz grupe team509.

    CVE-2011-1797: wushi iz grupe team509.

    CVE-2011-2338: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome putem alata AddressSanitizer.

    CVE-2011-2339: Cris Neckar iz tima za sigurnost preglednika Google Chrome.

    CVE-2011-2341: Apple.

    CVE-2011-2351: miaubiz.

    CVE-2011-2352: Apple.

    CVE-2011-2354: Apple.

    CVE-2011-2356: Adam Barth i Abhishek Arya iz tima za sigurnost preglednika Google Chrome putem alata AddressSanitizer.

    CVE-2011-2359: miaubiz.

    CVE-2011-2788: Mikolaj Malecki iz Samsunga.

    CVE-2011-2790: miaubiz.

    CVE-2011-2792: miaubiz.

    CVE-2011-2797: miaubiz.

    CVE-2011-2799: miaubiz.

    CVE-2011-2809: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome.

    CVE-2011-2811: Apple.

    CVE-2011-2813: Cris Neckar iz tima za sigurnost preglednika Google Chrome pomoću alata AddressSanitizer.

    CVE-2011-2814: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome putem alata AddressSanitizer.

    CVE-2011-2815: SkyLined iz tima za sigurnost preglednika Google Chrome.

    CVE-2011-2816: Apple.

    CVE-2011-2817: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome putem alata AddressSanitizer.

    CVE-2011-2818: Martin Barbella.

    CVE-2011-2820: Raman Tenneti i Philip Rogers iz Googlea.

    CVE-2011-2823: SkyLined iz tima za sigurnost preglednika Google Chrome.

    CVE-2011-2827: miaubiz.

    CVE-2011-2831: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome putem alata AddressSanitizer.

    CVE-2011-3232: Aki Helin iz OUSPG-a.

    CVE-2011-3233: Sadrul Habib Chowdhury iz zajednice razvojnih inženjera Chromium, Cris Neckar i Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome.

    CVE-2011-3234: miaubiz.

    CVE-2011-3235: Dimitri Glazkov, Kent Tamura, Dominic Cooney iz razvojne zajednice za Chromium i Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome.

    CVE-2011-3236: Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome putem alata AddressSanitizer.

    CVE-2011-3237: Dimitri Glazkov, Kent Tamura, Dominic Cooney iz razvojne zajednice za Chromium i Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome.

    CVE-2011-3238: Martin Barbella.

    CVE-2011-3239: Slawomir Blazek.

    CVE-2011-3241: Apple.

    CVE-2011-3244: vkouchna.

  • WebKit

    Dostupno za: Windows 7, Vista, XP SP2 ili novije.

    Utjecaj: man-in-the-middle napad može uzrokovati samovoljno izvršavanje koda.

    Opis: u načinu na koji WebKit koristi libxslt postojao je problem s konfiguracijom. Man-in-the-middle napad tijekom pregledavanja trgovine iTunes putem aplikacije iTunes može uzrokovati samovoljnu izradu datoteka s privilegijama korisnika, što onda može izvršavati samovoljno izvršavanje koda. Problem se rješava poboljšanim postavkama sigurnosti za libxslt.

    CVE-ID

    CVE-2011-1774: Nicolas Gregoire iz tvrtke Agarri.

Važno: navođenje web-mjesta i proizvoda trećih strana samo je informativne naravi i ne predstavlja njihovo odobravanje ni preporuku. Apple ne preuzima odgovornost za izbor, performanse ili upotrebu informacija ili proizvoda koji se mogu pronaći na web-mjestima trećih strana. Apple navedeno pruža samo radi boljeg korisničkog iskustva naših korisnika. Apple nije ispitao informacije pronađene na ovim web-mjestima i ne iznosi nikakve tvrdnje vezane za njihovu točnost ili pouzdanost. Upotreba informacija ili proizvoda s interneta može predstavljati određene rizike, a Apple ne preuzima odgovornost po tom pitanju. Imajte na umu da je web-mjesto treće strane neovisno u odnosu na Apple te da Apple ne upravlja sadržajem tih web-mjesta. Obratite se dobavljaču za više informacija.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: