Az iTunes 10.5 biztonsági változásjegyzéke

Ez a dokumentum az iTunes 10.5 biztonsági változásjegyzékét ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcsának használata című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.

iTunes 10.5

• CoreFoundation

  A következőkhöz érhető el: Windows 7, Vista, XP SP2 vagy újabb verzió.

  Érintett terület: Előfordult, hogy egy közbeékelődéses támadás váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

  Leírás: Memóriasérülési probléma lépett fel a karakterláncok lexikális elemzésének kezelésekor. A hiba nem érinti az OS X Lion rendszereket. Mac OS X v10.6 rendszerek esetén ezt a problémát a 2011-006 biztonsági frissítéssel orvosoltuk.

  CVE-azonosító

  CVE-2011-0259: Apple.

• ColorSync

  A következőkhöz érhető el: Windows 7, Vista, XP SP2 vagy újabb verzió.

  Érintett terület: Előfordult, hogy ártó szándékkal létrehozott, ColorSync-profillal rendelkező képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

  Leírás: Egészszám-túlcsordulási probléma állt fenn a ColorSync-profillal rendelkező képek kezelésével kapcsolatban, ami esetenként puffertúlcsorduláshoz vezetett. Előfordult, hogy ártó szándékkal létrehozott, ColorSync-profillal rendelkező képek megnyitása esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. A hiba nem érinti az OS X Lion rendszereket.

  CVE-azonosító

  CVE-2011-0200: binaryproof, a TippingPoint Zero Day Initiative kezdeményezésével együttműködésben.

• CoreAudio

  A következőkhöz érhető el: Windows 7, Vista, XP SP2 vagy újabb verzió.

  Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangtartalmak feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

  Leírás: Puffertúlcsordulást okozó probléma lépett fel a továbbfejlesztett hangkóddal kódolt hangstreamek kezelésekor. A hiba nem érinti az OS X Lion rendszereket.

  CVE-azonosító

  CVE-2011-3252: Luigi Auriemma, a TippingPoint Zero Day Initiative kezdeményezésével együttműködésben.

• CoreMedia

  A következőkhöz érhető el: Windows 7, Vista, XP SP2 vagy újabb verzió.

  Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

  Leírás: Puffertúlcsordulást okozó probléma lépett fel a H.264-kódolású filmfájlok kezelésekor. OS X Lion rendszerek esetén ezt a problémát az OS X Lion v10.7.2 rendszerekben sikerült kiküszöbölnünk. Mac OS X v10.6 rendszerek esetén ezt a problémát a 2011-006 biztonsági frissítéssel orvosoltuk.

  CVE-azonosító

  CVE-2011-3219: Damian Put, a TippingPoint Zero Day Initiative kezdeményezésével együttműködésben.

• ImageIO

  A következőkhöz érhető el: Windows 7, Vista, XP SP2 vagy újabb verzió.

  Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott TIFF-képek megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

  Leírás: Puffertúlcsordulást okozó probléma lépett fel a TIFF-képek ImageIO általi kezelésekor. A hiba nem érinti az OS X Lion rendszereket. Mac OS X v10.6 rendszerek esetén ezt a problémát a Mac OS X v10.6.8 rendszerekben sikerült kiküszöbölnünk.

  CVE-azonosító

  CVE-2011-0204: Dominic Chell, NGS Secure.

• ImageIO

  A következőkhöz érhető el: Windows 7, Vista, XP SP2 vagy újabb verzió.

  Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott TIFF-képek megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

  Leírás: Újrabelépési probléma lépett fel a TIFF-képek ImageIO általi kezelése során. Ez a probléma nem érinti a Mac OS X rendszert.

  CVE-azonosító

  CVE-2011-0215: Juan Pablo Lopez Yacubian, iDefense VCP.

• WebKit

  A következőkhöz érhető el: Windows 7, Vista, XP SP2 vagy újabb verzió

  Érintett terület: Előfordult, hogy egy közbeékelődéses támadáson keresztül váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor az iTunes Store iTunes alkalmazáson keresztüli böngészése során.

  Leírás: Több, memóriasérüléssel kapcsolatos probléma állt fenn a WebKit esetén.

  CVE-azonosító

  CVE-2010-1823: David Weston, Microsoft és Microsoft Vulnerability Research (MSVR), wushi, team509, és Yong Li, Research In Motion Ltd.

  CVE-2011-0164: Apple.

  CVE-2011-0218: SkyLined, Google Chrome Security Team.

  CVE-2011-0221: Abhishek Arya (Inferno), Google Chrome Security Team.

  CVE-2011-0222: Nikita Tarakanov és Alex Bazhanyuk, CISS Research Team, és Abhishek Arya (Inferno), Google Chrome Security Team.

  CVE-2011-0223: Jose A. Vazquez, spa-s3c.blogspot.com és az iDefense VCP.

  CVE-2011-0225: Abhishek Arya (Inferno), Google Chrome Security Team.

  CVE-2011-0232: J23, a TippingPoint Zero Day Initiative kezdeményezésével együttműködésben.

  CVE-2011-0233: wushi, team509, a TippingPoint Zero Day Initiative kezdeményezésével együttműködésben.

  CVE-2011-0234: Rob King, a TippingPoint Zero Day Initiative kezdeményezésével együttműködésben, wushi, team509, a TippingPoint Zero Day Initiative kezdeményezésével együttműködésben, wushi, team509, az iDefense VCP-vel együttműködésben.

  CVE-2011-0235: Abhishek Arya (Inferno), Google Chrome Security Team.

  CVE-2011-0237: wushi, team509, az iDefense VCP-vel együttműködésben.

  CVE-2011-0238: Adam Barth, Google Chrome Security Team.

  CVE-2011-0240: wushi, team509, az iDefense VCP-vel együttműködésben.

  CVE-2011-0253: Richard Keen.

  CVE-2011-0254: egy anonim kutató, a TippingPoint Zero Day Initiative kezdeményezésével együttműködésben.

  CVE-2011-0255: egy anonim kutató, a TippingPoint Zero Day Initiative kezdeményezésével együttműködésben.

  CVE-2011-0981: Rik Cabanier, Adobe Systems, Inc.

  CVE-2011-0983: Martin Barbella.

  CVE-2011-1109: Sergey Glazunov.

  CVE-2011-1114: Martin Barbella.

  CVE-2011-1115: Martin Barbella.

  CVE-2011-1117: wushi, team509.

  CVE-2011-1121: miaubiz.

  CVE-2011-1188: Martin Barbella.

  CVE-2011-1203: Sergey Glazunov.

  CVE-2011-1204: Sergey Glazunov.

  CVE-2011-1288: Andreas Kling, Nokia.

  CVE-2011-1293: Sergey Glazunov.

  CVE-2011-1296: Sergey Glazunov.

  CVE-2011-1440: Jose A. Vazquez, spa-s3c.blogspot.com.

  CVE-2011-1449: Marek Majkowski.

  CVE-2011-1451: Sergey Glazunov.

  CVE-2011-1453: wushi, team509, a TippingPoint Zero Day Initiative kezdeményezésével együttműködésben.

  CVE-2011-1457: John Knottenbelt, Google.

  CVE-2011-1462: wushi, team509.

  CVE-2011-1797: wushi, team509.

  CVE-2011-2338: Abhishek Arya (Inferno), Google Chrome Security Team, az AddressSanitizer használatával.

  CVE-2011-2339: Cris Neckar, Google Chrome Security Team.

  CVE-2011-2341: Apple.

  CVE-2011-2351: miaubiz.

  CVE-2011-2352: Apple.

  CVE-2011-2354: Apple.

  CVE-2011-2356: Adam Barth és Abhishek Arya, Google Chrome Security Team, az AddressSanitizer használatával.

  CVE-2011-2359: miaubiz.

  CVE-2011-2788: Mikolaj Malecki, Samsung.

  CVE-2011-2790: miaubiz.

  CVE-2011-2792: miaubiz.

  CVE-2011-2797: miaubiz.

  CVE-2011-2799: miaubiz.

  CVE-2011-2809: Abhishek Arya (Inferno), Google Chrome Security Team.

  CVE-2011-2811: Apple.

  CVE-2011-2813: Cris Neckar, Google Chrome Security Team, az AddressSanitizer használatával.

  CVE-2011-2814: Abhishek Arya (Inferno), Google Chrome Security Team, az AddressSanitizer használatával.

  CVE-2011-2815: SkyLined, Google Chrome Security Team.

  CVE-2011-2816: Apple.

  CVE-2011-2817: Abhishek Arya (Inferno), Google Chrome Security Team, az AddressSanitizer használatával.

  CVE-2011-2818: Martin Barbella.

  CVE-2011-2820: Raman Tenneti és Philip Rogers, Google.

  CVE-2011-2823: SkyLined, Google Chrome Security Team.

  CVE-2011-2827: miaubiz.

  CVE-2011-2831: Abhishek Arya (Inferno), Google Chrome Security Team, az AddressSanitizer használatával.

  CVE-2011-3232: Aki Helin, OUSPG.

  CVE-2011-3233: Sadrul Habib Chowdhury, a Chromium fejlesztői közössége, Cris Neckar és Abhishek Arya (Inferno), Google Chrome Security Team.

  CVE-2011-3234: miaubiz.

  CVE-2011-3235: Dimitri Glazkov, Kent Tamura, Dominic Cooney, a Chromium fejlesztői közössége, és Abhishek Arya (Inferno), Google Chrome Security Team.

  CVE-2011-3236: Abhishek Arya (Inferno), Google Chrome Security Team, az AddressSanitizer használatával.

  CVE-2011-3237: Dimitri Glazkov, Kent Tamura, Dominic Cooney, a Chromium fejlesztői közössége, és Abhishek Arya (Inferno), Google Chrome Security Team.

  CVE-2011-3238: Martin Barbella.

  CVE-2011-3239: Slawomir Blazek.

  CVE-2011-3241: Apple.

  CVE-2011-3244: vkouchna.

• WebKit

  A következőkhöz érhető el: Windows 7, Vista, XP SP2 vagy újabb verzió.

  Érintett terület: Előfordult, hogy egy közbeékelődéses támadás tetszőleges programkód végrehajtásához vezetett.

  Leírás: Konfigurálási probléma lépett fel a libxslt WebKit általi használata során. Az iTunes Store iTunes alkalmazáson keresztüli böngészése során bekövetkező közbeékelődéses támadás felhasználói jogosultságokkal rendelkező tetszőleges fájlok létrehozását tette lehetővé, amely tetszőleges programkód végrehajtását eredményezhette. A probléma a libxslt biztonsági beállításainak továbbfejlesztésével lett orvosolva.

  CVE-azonosító

  CVE-2011-1774: Nicolas Gregoire, Agarri.