Az iTunes 10.2 biztonsági változásjegyzéke

Ez a dokumentum az iTunes 10.2 biztonsági változásjegyzékét ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcsának használata” című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.

iTunes 10.2

  • ImageIO

    A következőkhöz érhető el: Windows 7, Vista, XP SP2 vagy újabb verzió

    Érintett terület: A libpng biztonsági rései

    Leírás: a libpng az 1.4.3-as verzióra frissül egyes biztonsági rések befoltozása érdekében, amelyek közül a legsúlyosabbak lehetőséget teremtettek tetszőleges programkódok végrehajtására. Mac OS X v10.5 rendszerek esetén ezt a problémát a 2010-007 biztonsági frissítéssel orvosoltuk. További információkért keresse fel a libpng webhelyét: http://www.libpng.org/pub/png/libpng.html

    CVE-azonosító

    CVE-2010-1205

    CVE-2010-2249

  • ImageIO

    A következőhöz érhető el: Windows 7, Vista, XP SP2 vagy újabb verzió

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott JPEG-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Puffertúlcsordulást okozó probléma lépett fel a JPEG-képek ImageIO általi kezelésekor. Az ártó szándékkal létrehozott JPEG-képek megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethet.

    CVE-azonosító

    CVE-2011-0170: Andrzej Dyjak, iDefense VCP

  • ImageIO

    A következőkhöz érhető el: Windows 7, Vista, XP SP2 vagy újabb verzió

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott XBM-képek megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Egészszám-túlcsordulást okozó probléma lépett fel az XBM-képek ImageIO általi kezelésekor. Az ártó szándékkal létrehozott XBM-képek megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethet.

    CVE-azonosító

    CVE-2011-0181: Harry Sintonen

  • ImageIO

    A következőkhöz érhető el: Windows 7, Vista, XP SP2 vagy újabb verzió

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott TIFF-képek megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Puffertúlcsordulást okozó probléma lépett fel a JPEG-kódolású TIFF-képek libTIFF általi kezelésekor. Az ártó szándékkal létrehozott TIFF-képek megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethet.

    CVE-azonosító

    CVE-2011-0191: Apple

  • ImageIO

    A következőkhöz érhető el: Windows 7, Vista, XP SP2 vagy újabb verzió

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott TIFF-képek megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Puffertúlcsordulást okozó probléma lépett fel a CCITT Group 4-kódolású TIFF-képek libTIFF általi kezelésekor. Az ártó szándékkal létrehozott TIFF-képek megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethet.

    CVE-azonosító

    CVE-2011-0192: Apple

  • libxml

    A következőhöz érhető el: Windows 7, Vista, XP SP2 vagy újabb verzió

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott XML-fájlok feldolgozása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Az XPath-kifejezések libxml általi kezelése során dupla memóriafelszabadítási hiba merült fel. Az ártó szándékkal létrehozott XML-fájlok feldolgozása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethet.

    CVE-azonosító

    CVE-2010-4494: Yang Dingning, NCNIPC, Graduate University of Chinese Academy of Sciences

  • libxml

    A következőhöz érhető el: Windows 7, Vista, XP SP2 vagy újabb verzió

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott XML-fájlok feldolgozása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Az XPath libxml általi kezelése során memóriasérülési hiba merült fel. Az ártó szándékkal létrehozott XML-fájlok feldolgozása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethet.

    CVE-azonosító

    CVE-2010-4008: Bui Quang Minh, Bkis (www.bkis.com)

  • WebKit

    A következőkhöz érhető el: Windows 7, Vista, XP SP2 vagy újabb

    Érintett terület: Előfordult, hogy egy közbeékelődéses (man-in-the-middle) támadáson keresztül váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: több, memóriasérüléssel kapcsolatos problémát tartalmazott a WebKit. Előfordult, hogy az iTuneson keresztül az iTunes Store-ban való böngészés során egy közbeékelődéses (man-in-the-middle) támadás váratlan alkalmazásleállást vagy tetszőleges programkód végrehajtását tette lehetővé.

    CVE-azonosító

    CVE-2010-1824: kuzzcc és wushi, team509, a TippingPoint Zero Day Initiative kezdeményezésével együttműködésben

    CVE-2011-0111: Sergey Glazunov

    CVE-2011-0112: Yuzo Fujishima, Google Inc.

    CVE-2011-0113: Andreas Kling, Nokia

    CVE-2011-0114: Chris Evans, Google Chrome Security Team

    CVE-2011-0115: J23, a TippingPoint Zero Day Initiative kezdeményezésével együttműködésben, és Emil A Eklund, Google, Inc

    CVE-2011-0116: anonim kutató a TippingPoint Zero Day Initiative kezdeményezésével együttműködésben

    CVE-2011-0117: Abhishek Arya (Inferno), Google, Inc.

    CVE-2011-0118: Abhishek Arya (Inferno), Google, Inc.

    CVE-2011-0119: Abhishek Arya (Inferno), Google, Inc.

    CVE-2011-0120: Abhishek Arya (Inferno), Google, Inc.

    CVE-2011-0121: Abhishek Arya (Inferno), Google, Inc.

    CVE-2011-0122: Slawomir Blazek

    CVE-2011-0123: Abhishek Arya (Inferno), Google, Inc.

    CVE-2011-0124: Yuzo Fujishima, Google Inc.

    CVE-2011-0125: Abhishek Arya (Inferno), Google, Inc.

    CVE-2011-0126: Mihai Parparita, Google, Inc.

    CVE-2011-0127: Abhishek Arya (Inferno), Google, Inc.

    CVE-2011-0128: David Bloom

    CVE-2011-0129: Famlam

    CVE-2011-0130: Apple

    CVE-2011-0131: wushi, team509

    CVE-2011-0132: wushi, team509, a TippingPoint Zero Day Initiative kezdeményezésével együttműködésben

    CVE-2011-0133: wushi, team509, a TippingPoint Zero Day Initiative kezdeményezésével együttműködésben

    CVE-2011-0134: Jan Tosovsky

    CVE-2011-0135: anonim bejelentő

    CVE-2011-0136: Sergey Glazunov

    CVE-2011-0137: Sergey Glazunov

    CVE-2011-0138: kuzzcc

    CVE-2011-0139: kuzzcc

    CVE-2011-0140: Sergey Glazunov

    CVE-2011-0141: Chris Rohlf, Matasano Security

    CVE-2011-0142: Abhishek Arya (Inferno), Google, Inc.

    CVE-2011-0143: Slawomir Blazek és Sergey Glazunov

    CVE-2011-0144: Emil A Eklund, Google, Inc.

    CVE-2011-0145: Abhishek Arya (Inferno), Google, Inc.

    CVE-2011-0146: Abhishek Arya (Inferno), Google, Inc.

    CVE-2011-0147: Dirk Schulze

    CVE-2011-0148: Michal Zalewski, Google, Inc.

    CVE-2011-0149: wushi, team509, a TippingPoint Zero Day Initiative kezdeményezésével együttműködésben, és SkyLined, Google Chrome Security Team

    CVE-2011-0150: Michael Gundlach, safariadblock.com

    CVE-2011-0151: Abhishek Arya (Inferno), Google, Inc.

    CVE-2011-0152: SkyLined, Google Chrome Security Team

    CVE-2011-0153: Abhishek Arya (Inferno), Google, Inc.

    CVE-2011-0154: anonim kutató a TippingPoint Zero Day Initiative kezdeményezésével együttműködésben

    CVE-2011-0155: Aki Helin, OUSPG

    CVE-2011-0156: Abhishek Arya (Inferno), Google, Inc.

    CVE-2011-0165: Sergey Glazunov

    CVE-2011-0168: Sergey Glazunov

Fontos: A külső felek webhelyeinek és termékeinek megemlítése kizárólag tájékoztató célt szolgál, és nem értelmezhető sem jóváhagyásként, sem ajánlásként. Az Apple nem vállal felelősséget a külső felek webhelyein található információk vagy termékek választékáért, működéséért vagy használatáért. Az Apple ezt csak a felhasználók kényelme érdekében teszi elérhetővé. Az Apple nem tesztelte az ilyen webhelyeken található információkat, és nem tesz nyilatkozatot a pontosságukról vagy a megbízhatóságukról. Az interneten található információk vagy termékek használata kockázatokkal járhat, és az Apple nem vállal felelősséget ezekért. Vegye figyelembe, hogy a harmadik felek webhelyei függetlenek az Apple-től, és az Apple nincs ráhatással az adott webhely tartalmára. További információkért vegye fel a kapcsolatot a gyártóval.

Közzététel dátuma: