Mengenai konten keamanan iTunes 9.1

Dokumen ini menjelaskan konten keamanan iTunes 9.1.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk informasi tentang Kunci PGP Keamanan Produk Apple, baca “Cara menggunakan Kunci PGP Keamanan Produk Apple.”

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca “Pembaruan Keamanan Apple”.

iTunes 9.1

  • ColorSync

    CVE-ID: CVE-2010-0040

    Tersedia untuk: Windows 7, Vista, XP

    Dampak: Melihat gambar perusak yang berbahaya dengan profil warna yang disematkan dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan bilangan bulat, yang dapat menyebabkan kelebihan tumpukan buffer, dalam penanganan gambar dengan profil warna yang disematkan. Membuka gambar perusak yang berbahaya dengan profil warna yang disematkan dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer. Masalah ini diatasi dengan melakukan validasi tambahan untuk profil warna. Masalah ini tidak memengaruhi sistem Mac OS X. Terima kasih kepada Sebastien Renaud dari VUPEN Vulnerability Research Team karena telah melaporkan masalah ini.

  • ImageIO

    CVE-ID: CVE-2009-2285

    Tersedia untuk: Windows 7, Vista, XP

    Dampak: Membuka gambar TIFF perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat kekurangan buffer saat ImageIO menangani gambar TIFF. Menampilkan gambar TIFF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pemeriksaan batas yang ditingkatkan. Untuk sistem Mac OS X v10.6, masalah ini diatasi di Mac OS X v10.6.2. Untuk sistem Mac OS X v10.5, masalah ini diatasi di Pembaruan Keamanan 2010-001.

  • ImageIO

    CVE-ID: CVE-2010-0041

    Tersedia untuk: Windows 7, Vista, XP

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan pengiriman data dari memori Safari ke situs web tersebut

    Deskripsi: Terdapat masalah akses memori tanpa dimulai saat ImageIO menangani gambar BMP. Mengunjungi situs web perusak yang berbahaya dapat menyebabkan pengiriman data dari memori Safari ke situs web tersebut. Masalah ini diatasi melalui peningkatan penanganan memori dan validasi tambahan untuk gambar BMP. Untuk sistem Mac OS X v10.6, masalah ini diatasi di Mac OS X v10.6.3. Untuk sistem Mac OS X v10.5, masalah ini diatasi di Pembaruan Keamanan 2010-002. Terima kasih kepada Matthew 'j00ru' Jurczyk dari Hispasec karena telah melaporkan masalah ini.

  • ImageIO

    CVE-ID: CVE-2010-0042

    Tersedia untuk: Windows 7, Vista, XP

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan pengiriman data dari memori Safari ke situs web tersebut

    Deskripsi: Terdapat masalah akses memori tanpa dimulai saat ImageIO menangani gambar TIFF. Mengunjungi situs web perusak yang berbahaya dapat menyebabkan pengiriman data dari memori Safari ke situs web tersebut. Masalah ini diatasi melalui peningkatan penanganan memori dan validasi tambahan untuk gambar TIFF. Untuk sistem Mac OS X v10.6, masalah ini diatasi di Mac OS X v10.6.3. Untuk sistem Mac OS X v10.5, masalah ini diatasi di Pembaruan Keamanan 2010-002. Terima kasih kepada Matthew 'j00ru' Jurczyk dari Hispasec karena telah melaporkan masalah ini.

  • ImageIO

    CVE-ID: CVE-2010-0043

    Tersedia untuk: Windows 7, Vista, XP

    Dampak: Memproses gambar TIFF perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat masalah kerusakan memori dalam penanganan gambar TIFF. Memproses gambar TIFF perusak yang berbahaya dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer. Masalah ini diatasi melalui penanganan memori yang ditingkatkan. Untuk sistem Mac OS X v10.6, masalah ini diatasi di Mac OS X v10.6.3. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.6. Terima kasih kepada Gus Mueller dari Flying Meat karena telah melaporkan masalah ini.

  • iTunes

    CVE-ID: CVE-2010-0531

    Tersedia untuk: Mac OS X v10.4.11 atau versi yang lebih baru, Mac OS X Server v10.4.11 atau versi yang lebih baru, Windows 7, Vista, XP

    Dampak: Mengimpor file MP4 perusak yang berbahaya dapat menyebabkan penolakan layanan

    Deskripsi: Terdapat masalah pengulangan yang tidak berujung dalam penanganan file MP4. Podcast perusak yang berbahaya mungkin dapat menyebabkan pengulangan yang tidak berujung di iTunes dan membuatnya tidak dapat dioperasikan meskipun telah diluncurkan ulang. Masalah ini diatasi melalui peningkatan validasi file MP4. Terima kasih kepada Sojeong Hong dari Sourcefire VRT karena telah melaporkan masalah ini.

  • iTunes

    CVE-ID: CVE-2010-0532

    Tersedia untuk: Windows 7, Vista, XP

    Dampak: Pengguna lokal mungkin dapat memperoleh hak istimewa sistem selama penginstalan iTunes

    Deskripsi: Terdapat masalah eskalasi hak istimewa di dalam paket penginstalan iTunes untuk Windows. Selama proses penginstalan, suatu kondisi pacu dapat memungkinkan pengguna lokal memodifikasi file yang kemudian dijalankan dengan hak istimewa sistem. Masalah ini diatasi melalui peningkatan kontrol akses untuk file penginstalan. Masalah ini tidak memengaruhi sistem Mac OS X. Terima kasih kepada Jason Geffner dari NGSSoftware karena telah melaporkan masalah ini.

  • iTunes

    CVE-ID: CVE-2010-1768

    Tersedia untuk: Mac OS X v10.4.11 atau versi yang lebih baru, Mac OS X Server v10.4.11 atau versi yang lebih baru

    Dampak: Menyelaraskan perangkat seluler dapat memungkinkan pengguna lokal memperoleh hak istimewa yang lebih tinggi

    Deskripsi: Terdapat operasi file tidak aman dalam penanganan file log untuk perangkat seluler. Menyelaraskan iPhone, iPad, atau iPod touch dapat memungkinkan pengguna lokal memperoleh hak istimewa pengguna konsol. Masalah ini diatasi melalui peningkatan penanganan file log. Terima kasih kepada Jon Passki, dan Nicolas Seriot dari HEIG-VD karena telah melaporkan masalah ini.

  • iTunes

    CVE-ID: CVE-2010-1795

    Tersedia untuk: Windows 7, Vista, XP

    Dampak: Membuka file di dalam direktori perusak yang berbahaya dapat menyebabkan eksekusi kode arbitrer

    Deskripsi: Terdapat masalah pencarian jalur di iTunes. iTunes akan mencari DLL tertentu di dalam direktori yang saat ini berfungsi. Jika seseorang meletakkan file perusak yang berbahaya dengan nama tertentu di dalam direktori, membuka file lain di dalam direktori tersebut di iTunes dapat menyebabkan eksekusi kode arbitrer. Masalah ini diatasi dengan menghapus kode yang menggunakan DLL tersebut. Masalah ini tidak memengaruhi sistem Mac OS X. Terima kasih kepada Simon Raner dari ACROS Security karena telah melaporkan masalah ini.

Penting: Informasi tentang produk yang tidak diproduksi oleh Apple hanya tersedia untuk tujuan informasi dan bukan merupakan rekomendasi atau dukungan dari Apple. Silakan hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: