Mengenai konten keamanan iTunes 9.1
Dokumen ini menjelaskan konten keamanan iTunes 9.1.
Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk informasi tentang Kunci PGP Keamanan Produk Apple, baca “Cara menggunakan Kunci PGP Keamanan Produk Apple.”
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari Pembaruan Keamanan lainnya, baca “Pembaruan Keamanan Apple”.
iTunes 9.1
ColorSync
CVE-ID: CVE-2010-0040
Tersedia untuk: Windows 7, Vista, XP
Dampak: Melihat gambar perusak yang berbahaya dengan profil warna yang disematkan dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer
Deskripsi: Terdapat kelebihan bilangan bulat, yang dapat menyebabkan kelebihan tumpukan buffer, dalam penanganan gambar dengan profil warna yang disematkan. Membuka gambar perusak yang berbahaya dengan profil warna yang disematkan dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer. Masalah ini diatasi dengan melakukan validasi tambahan untuk profil warna. Masalah ini tidak memengaruhi sistem Mac OS X. Terima kasih kepada Sebastien Renaud dari VUPEN Vulnerability Research Team karena telah melaporkan masalah ini.
ImageIO
CVE-ID: CVE-2009-2285
Tersedia untuk: Windows 7, Vista, XP
Dampak: Membuka gambar TIFF perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terdapat kekurangan buffer saat ImageIO menangani gambar TIFF. Menampilkan gambar TIFF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pemeriksaan batas yang ditingkatkan. Untuk sistem Mac OS X v10.6, masalah ini diatasi di Mac OS X v10.6.2. Untuk sistem Mac OS X v10.5, masalah ini diatasi di Pembaruan Keamanan 2010-001.
ImageIO
CVE-ID: CVE-2010-0041
Tersedia untuk: Windows 7, Vista, XP
Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan pengiriman data dari memori Safari ke situs web tersebut
Deskripsi: Terdapat masalah akses memori tanpa dimulai saat ImageIO menangani gambar BMP. Mengunjungi situs web perusak yang berbahaya dapat menyebabkan pengiriman data dari memori Safari ke situs web tersebut. Masalah ini diatasi melalui peningkatan penanganan memori dan validasi tambahan untuk gambar BMP. Untuk sistem Mac OS X v10.6, masalah ini diatasi di Mac OS X v10.6.3. Untuk sistem Mac OS X v10.5, masalah ini diatasi di Pembaruan Keamanan 2010-002. Terima kasih kepada Matthew 'j00ru' Jurczyk dari Hispasec karena telah melaporkan masalah ini.
ImageIO
CVE-ID: CVE-2010-0042
Tersedia untuk: Windows 7, Vista, XP
Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan pengiriman data dari memori Safari ke situs web tersebut
Deskripsi: Terdapat masalah akses memori tanpa dimulai saat ImageIO menangani gambar TIFF. Mengunjungi situs web perusak yang berbahaya dapat menyebabkan pengiriman data dari memori Safari ke situs web tersebut. Masalah ini diatasi melalui peningkatan penanganan memori dan validasi tambahan untuk gambar TIFF. Untuk sistem Mac OS X v10.6, masalah ini diatasi di Mac OS X v10.6.3. Untuk sistem Mac OS X v10.5, masalah ini diatasi di Pembaruan Keamanan 2010-002. Terima kasih kepada Matthew 'j00ru' Jurczyk dari Hispasec karena telah melaporkan masalah ini.
ImageIO
CVE-ID: CVE-2010-0043
Tersedia untuk: Windows 7, Vista, XP
Dampak: Memproses gambar TIFF perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terdapat masalah kerusakan memori dalam penanganan gambar TIFF. Memproses gambar TIFF perusak yang berbahaya dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer. Masalah ini diatasi melalui penanganan memori yang ditingkatkan. Untuk sistem Mac OS X v10.6, masalah ini diatasi di Mac OS X v10.6.3. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.6. Terima kasih kepada Gus Mueller dari Flying Meat karena telah melaporkan masalah ini.
iTunes
CVE-ID: CVE-2010-0531
Tersedia untuk: Mac OS X v10.4.11 atau versi yang lebih baru, Mac OS X Server v10.4.11 atau versi yang lebih baru, Windows 7, Vista, XP
Dampak: Mengimpor file MP4 perusak yang berbahaya dapat menyebabkan penolakan layanan
Deskripsi: Terdapat masalah pengulangan yang tidak berujung dalam penanganan file MP4. Podcast perusak yang berbahaya mungkin dapat menyebabkan pengulangan yang tidak berujung di iTunes dan membuatnya tidak dapat dioperasikan meskipun telah diluncurkan ulang. Masalah ini diatasi melalui peningkatan validasi file MP4. Terima kasih kepada Sojeong Hong dari Sourcefire VRT karena telah melaporkan masalah ini.
iTunes
CVE-ID: CVE-2010-0532
Tersedia untuk: Windows 7, Vista, XP
Dampak: Pengguna lokal mungkin dapat memperoleh hak istimewa sistem selama penginstalan iTunes
Deskripsi: Terdapat masalah eskalasi hak istimewa di dalam paket penginstalan iTunes untuk Windows. Selama proses penginstalan, suatu kondisi pacu dapat memungkinkan pengguna lokal memodifikasi file yang kemudian dijalankan dengan hak istimewa sistem. Masalah ini diatasi melalui peningkatan kontrol akses untuk file penginstalan. Masalah ini tidak memengaruhi sistem Mac OS X. Terima kasih kepada Jason Geffner dari NGSSoftware karena telah melaporkan masalah ini.
iTunes
CVE-ID: CVE-2010-1768
Tersedia untuk: Mac OS X v10.4.11 atau versi yang lebih baru, Mac OS X Server v10.4.11 atau versi yang lebih baru
Dampak: Menyelaraskan perangkat seluler dapat memungkinkan pengguna lokal memperoleh hak istimewa yang lebih tinggi
Deskripsi: Terdapat operasi file tidak aman dalam penanganan file log untuk perangkat seluler. Menyelaraskan iPhone, iPad, atau iPod touch dapat memungkinkan pengguna lokal memperoleh hak istimewa pengguna konsol. Masalah ini diatasi melalui peningkatan penanganan file log. Terima kasih kepada Jon Passki, dan Nicolas Seriot dari HEIG-VD karena telah melaporkan masalah ini.
iTunes
CVE-ID: CVE-2010-1795
Tersedia untuk: Windows 7, Vista, XP
Dampak: Membuka file di dalam direktori perusak yang berbahaya dapat menyebabkan eksekusi kode arbitrer
Deskripsi: Terdapat masalah pencarian jalur di iTunes. iTunes akan mencari DLL tertentu di dalam direktori yang saat ini berfungsi. Jika seseorang meletakkan file perusak yang berbahaya dengan nama tertentu di dalam direktori, membuka file lain di dalam direktori tersebut di iTunes dapat menyebabkan eksekusi kode arbitrer. Masalah ini diatasi dengan menghapus kode yang menggunakan DLL tersebut. Masalah ini tidak memengaruhi sistem Mac OS X. Terima kasih kepada Simon Raner dari ACROS Security karena telah melaporkan masalah ini.
Penting: Informasi tentang produk yang tidak diproduksi oleh Apple hanya tersedia untuk tujuan informasi dan bukan merupakan rekomendasi atau dukungan dari Apple. Silakan hubungi vendor untuk informasi tambahan.