Az iTunes 10.5 biztonsági változásjegyzéke
Ez a dokumentum az iTunes 10.5 biztonsági változásjegyzékét ismerteti.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcsának használata című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.
iTunes 10.5
CoreFoundation
A következőkhöz érhető el: Windows 7, Vista, XP SP2 vagy újabb verzió.
Érintett terület: Előfordult, hogy egy közbeékelődéses támadás váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: Memóriasérülési probléma lépett fel a karakterláncok lexikális elemzésének kezelésekor. A hiba nem érinti az OS X Lion rendszereket. Mac OS X v10.6 rendszerek esetén ezt a problémát a 2011-006 biztonsági frissítéssel orvosoltuk.
CVE-azonosító
CVE-2011-0259: Apple.
ColorSync
A következőkhöz érhető el: Windows 7, Vista, XP SP2 vagy újabb verzió.
Érintett terület: Előfordult, hogy ártó szándékkal létrehozott, ColorSync-profillal rendelkező képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Egészszám-túlcsordulási probléma állt fenn a ColorSync-profillal rendelkező képek kezelésével kapcsolatban, ami esetenként puffertúlcsorduláshoz vezetett. Előfordult, hogy ártó szándékkal létrehozott, ColorSync-profillal rendelkező képek megnyitása esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. A hiba nem érinti az OS X Lion rendszereket.
CVE-azonosító
CVE-2011-0200: binaryproof, a TippingPoint Zero Day Initiative kezdeményezésével együttműködésben.
CoreAudio
A következőkhöz érhető el: Windows 7, Vista, XP SP2 vagy újabb verzió.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangtartalmak feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Puffertúlcsordulást okozó probléma lépett fel a továbbfejlesztett hangkóddal kódolt hangstreamek kezelésekor. A hiba nem érinti az OS X Lion rendszereket.
CVE-azonosító
CVE-2011-3252: Luigi Auriemma, a TippingPoint Zero Day Initiative kezdeményezésével együttműködésben.
CoreMedia
A következőkhöz érhető el: Windows 7, Vista, XP SP2 vagy újabb verzió.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Puffertúlcsordulást okozó probléma lépett fel a H.264-kódolású filmfájlok kezelésekor. OS X Lion rendszerek esetén ezt a problémát az OS X Lion v10.7.2 rendszerekben sikerült kiküszöbölnünk. Mac OS X v10.6 rendszerek esetén ezt a problémát a 2011-006 biztonsági frissítéssel orvosoltuk.
CVE-azonosító
CVE-2011-3219: Damian Put, a TippingPoint Zero Day Initiative kezdeményezésével együttműködésben.
ImageIO
A következőkhöz érhető el: Windows 7, Vista, XP SP2 vagy újabb verzió.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott TIFF-képek megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: Puffertúlcsordulást okozó probléma lépett fel a TIFF-képek ImageIO általi kezelésekor. A hiba nem érinti az OS X Lion rendszereket. Mac OS X v10.6 rendszerek esetén ezt a problémát a Mac OS X v10.6.8 rendszerekben sikerült kiküszöbölnünk.
CVE-azonosító
CVE-2011-0204: Dominic Chell, NGS Secure.
ImageIO
A következőkhöz érhető el: Windows 7, Vista, XP SP2 vagy újabb verzió.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott TIFF-képek megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: Újrabelépési probléma lépett fel a TIFF-képek ImageIO általi kezelése során. Ez a probléma nem érinti a Mac OS X rendszert.
CVE-azonosító
CVE-2011-0215: Juan Pablo Lopez Yacubian, iDefense VCP.
WebKit
A következőkhöz érhető el: Windows 7, Vista, XP SP2 vagy újabb verzió
Érintett terület: Előfordult, hogy egy közbeékelődéses támadáson keresztül váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor az iTunes Store iTunes alkalmazáson keresztüli böngészése során.
Leírás: Több, memóriasérüléssel kapcsolatos probléma állt fenn a WebKit esetén.
CVE-azonosító
CVE-2010-1823: David Weston, Microsoft és Microsoft Vulnerability Research (MSVR), wushi, team509, és Yong Li, Research In Motion Ltd.
CVE-2011-0164: Apple.
CVE-2011-0218: SkyLined, Google Chrome Security Team.
CVE-2011-0221: Abhishek Arya (Inferno), Google Chrome Security Team.
CVE-2011-0222: Nikita Tarakanov és Alex Bazhanyuk, CISS Research Team, és Abhishek Arya (Inferno), Google Chrome Security Team.
CVE-2011-0223: Jose A. Vazquez, spa-s3c.blogspot.com és az iDefense VCP.
CVE-2011-0225: Abhishek Arya (Inferno), Google Chrome Security Team.
CVE-2011-0232: J23, a TippingPoint Zero Day Initiative kezdeményezésével együttműködésben.
CVE-2011-0233: wushi, team509, a TippingPoint Zero Day Initiative kezdeményezésével együttműködésben.
CVE-2011-0234: Rob King, a TippingPoint Zero Day Initiative kezdeményezésével együttműködésben, wushi, team509, a TippingPoint Zero Day Initiative kezdeményezésével együttműködésben, wushi, team509, az iDefense VCP-vel együttműködésben.
CVE-2011-0235: Abhishek Arya (Inferno), Google Chrome Security Team.
CVE-2011-0237: wushi, team509, az iDefense VCP-vel együttműködésben.
CVE-2011-0238: Adam Barth, Google Chrome Security Team.
CVE-2011-0240: wushi, team509, az iDefense VCP-vel együttműködésben.
CVE-2011-0253: Richard Keen.
CVE-2011-0254: egy anonim kutató, a TippingPoint Zero Day Initiative kezdeményezésével együttműködésben.
CVE-2011-0255: egy anonim kutató, a TippingPoint Zero Day Initiative kezdeményezésével együttműködésben.
CVE-2011-0981: Rik Cabanier, Adobe Systems, Inc.
CVE-2011-0983: Martin Barbella.
CVE-2011-1109: Sergey Glazunov.
CVE-2011-1114: Martin Barbella.
CVE-2011-1115: Martin Barbella.
CVE-2011-1117: wushi, team509.
CVE-2011-1121: miaubiz.
CVE-2011-1188: Martin Barbella.
CVE-2011-1203: Sergey Glazunov.
CVE-2011-1204: Sergey Glazunov.
CVE-2011-1288: Andreas Kling, Nokia.
CVE-2011-1293: Sergey Glazunov.
CVE-2011-1296: Sergey Glazunov.
CVE-2011-1440: Jose A. Vazquez, spa-s3c.blogspot.com.
CVE-2011-1449: Marek Majkowski.
CVE-2011-1451: Sergey Glazunov.
CVE-2011-1453: wushi, team509, a TippingPoint Zero Day Initiative kezdeményezésével együttműködésben.
CVE-2011-1457: John Knottenbelt, Google.
CVE-2011-1462: wushi, team509.
CVE-2011-1797: wushi, team509.
CVE-2011-2338: Abhishek Arya (Inferno), Google Chrome Security Team, az AddressSanitizer használatával.
CVE-2011-2339: Cris Neckar, Google Chrome Security Team.
CVE-2011-2341: Apple.
CVE-2011-2351: miaubiz.
CVE-2011-2352: Apple.
CVE-2011-2354: Apple.
CVE-2011-2356: Adam Barth és Abhishek Arya, Google Chrome Security Team, az AddressSanitizer használatával.
CVE-2011-2359: miaubiz.
CVE-2011-2788: Mikolaj Malecki, Samsung.
CVE-2011-2790: miaubiz.
CVE-2011-2792: miaubiz.
CVE-2011-2797: miaubiz.
CVE-2011-2799: miaubiz.
CVE-2011-2809: Abhishek Arya (Inferno), Google Chrome Security Team.
CVE-2011-2811: Apple.
CVE-2011-2813: Cris Neckar, Google Chrome Security Team, az AddressSanitizer használatával.
CVE-2011-2814: Abhishek Arya (Inferno), Google Chrome Security Team, az AddressSanitizer használatával.
CVE-2011-2815: SkyLined, Google Chrome Security Team.
CVE-2011-2816: Apple.
CVE-2011-2817: Abhishek Arya (Inferno), Google Chrome Security Team, az AddressSanitizer használatával.
CVE-2011-2818: Martin Barbella.
CVE-2011-2820: Raman Tenneti és Philip Rogers, Google.
CVE-2011-2823: SkyLined, Google Chrome Security Team.
CVE-2011-2827: miaubiz.
CVE-2011-2831: Abhishek Arya (Inferno), Google Chrome Security Team, az AddressSanitizer használatával.
CVE-2011-3232: Aki Helin, OUSPG.
CVE-2011-3233: Sadrul Habib Chowdhury, a Chromium fejlesztői közössége, Cris Neckar és Abhishek Arya (Inferno), Google Chrome Security Team.
CVE-2011-3234: miaubiz.
CVE-2011-3235: Dimitri Glazkov, Kent Tamura, Dominic Cooney, a Chromium fejlesztői közössége, és Abhishek Arya (Inferno), Google Chrome Security Team.
CVE-2011-3236: Abhishek Arya (Inferno), Google Chrome Security Team, az AddressSanitizer használatával.
CVE-2011-3237: Dimitri Glazkov, Kent Tamura, Dominic Cooney, a Chromium fejlesztői közössége, és Abhishek Arya (Inferno), Google Chrome Security Team.
CVE-2011-3238: Martin Barbella.
CVE-2011-3239: Slawomir Blazek.
CVE-2011-3241: Apple.
CVE-2011-3244: vkouchna.
WebKit
A következőkhöz érhető el: Windows 7, Vista, XP SP2 vagy újabb verzió.
Érintett terület: Előfordult, hogy egy közbeékelődéses támadás tetszőleges programkód végrehajtásához vezetett.
Leírás: Konfigurálási probléma lépett fel a libxslt WebKit általi használata során. Az iTunes Store iTunes alkalmazáson keresztüli böngészése során bekövetkező közbeékelődéses támadás felhasználói jogosultságokkal rendelkező tetszőleges fájlok létrehozását tette lehetővé, amely tetszőleges programkód végrehajtását eredményezhette. A probléma a libxslt biztonsági beállításainak továbbfejlesztésével lett orvosolva.
CVE-azonosító
CVE-2011-1774: Nicolas Gregoire, Agarri.
Fontos: A külső felek webhelyeinek és termékeinek megemlítése kizárólag tájékoztató célt szolgál, és nem értelmezhető sem jóváhagyásként, sem ajánlásként. Az Apple nem vállal felelősséget a külső felek webhelyein található információk vagy termékek választékáért, működéséért vagy használatáért. Az Apple ezt csak a felhasználók kényelme érdekében teszi elérhetővé. Az Apple nem tesztelte az ilyen webhelyeken található információkat, és nem tesz nyilatkozatot a pontosságukról vagy a megbízhatóságukról. Az interneten található információk vagy termékek használata kockázatokkal járhat, és az Apple nem vállal felelősséget ezekért. Vegye figyelembe, hogy a harmadik felek webhelyei függetlenek az Apple-től, és az Apple nincs ráhatással az adott webhely tartalmára. További információkért vegye fel a kapcsolatot a gyártóval.