Mengenai konten keamanan iTunes 10.5

Dokumen ini menjelaskan konten keamanan iTunes 10.5.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk mengetahui informasi tentang Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca Pembaruan Keamanan Apple.

iTunes 10.5

  • CoreFoundation

    Tersedia untuk: Windows 7, Vista, XP SP2 atau versi lebih baru.

    Dampak: Serangan man-in-the-middle dapat menyebabkan app berhenti tiba-tiba atau eksekusi kode arbitrer.

    Deskripsi: Terdapat masalah kerusakan memori saat menangani tokenisasi string. Masalah ini tidak memengaruhi sistem OS X Lion. Untuk sistem Mac OS X v10.6, masalah ini diatasi di Pembaruan Keamanan 2011-006.

    CVE-ID

    CVE-2011-0259: Apple.

  • ColorSync

    Tersedia untuk: Windows 7, Vista, XP SP2 atau versi lebih baru.

    Dampak: Menampilkan gambar perusak yang berbahaya dengan profil ColorSync tersemat dapat membuat aplikasi terhenti secara tiba-tiba atau mengakibatkan eksekusi kode arbitrer.

    Penjelasan: Kelebihan bilangan bulat muncul saat menangani gambar dengan profil ColorSync tersemat, yang dapat mengakibatkan tumpukan kelebihan buffer. Membuka gambar perusak yang berbahaya dengan profil ColorSync tersemat dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini tidak memengaruhi sistem OS X Lion.

    CVE- ID

    CVE-2011-0200: binaryproof bekerja sama dengan Zero Day Initiative dari TippingPoint.

  • CoreAudio

    Tersedia untuk: Windows 7, Vista, XP SP2 atau versi lebih baru.

    Dampak: Memutar konten audio perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer.

    Deskripsi: Terdapat kelebihan buffer saat menangani stream audio yang dikodekan dengan kode audio tingkat lanjut. Masalah ini tidak memengaruhi sistem OS X Lion.

    CVE-ID

    CVE-2011-3252: Luigi Auriemma yang bekerja sama dengan Zero Day Initiative dari TippingPoint.

  • CoreMedia

    Tersedia untuk: Windows 7, Vista, XP SP2 atau versi lebih baru.

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer.

    Deskripsi: Kelebihan buffer muncul saat menangani file film H.264 yang dikodekan. Untuk sistem OS X Lion, masalah ini diatasi di OS X Lion v10.7.2. Untuk sistem Mac OS X v10.6, masalah ini diatasi di Pembaruan Keamanan 2011-006.

    CVE-ID

    CVE-2011-3219: Damian Put yang bekerja sama dengan Zero Day Initiative dari TippingPoint.

  • ImageIO

    Tersedia untuk: Windows 7, Vista, XP SP2 atau versi lebih baru.

    Dampak: Menampilkan gambar TIFF perusak yang berbahaya dapat mengakibatkan aplikasi terhenti tiba-tiba atau eksekusi kode arbitrer.

    Penjelasan: Tumpukan kelebihan buffer muncul saat menangani gambar TIFF di ImageIO. Masalah ini tidak memengaruhi sistem OS X Lion. Untuk sistem Mac OS X v10.6, masalah ini diatasi di Mac OS X v10.6.8.

    CVE-ID

    CVE-2011-0204: Dominic Chell dari NGS Secure.

  • ImageIO

    Tersedia untuk: Windows 7, Vista, XP SP2 atau versi lebih baru.

    Dampak: Menampilkan gambar TIFF perusak yang berbahaya dapat mengakibatkan aplikasi terhenti tiba-tiba atau eksekusi kode arbitrer.

    Deskripsi: Terdapat masalah masuk kembali saat ImageIO menangani gambar TIFF. Masalah ini tidak memengaruhi sistem Mac OS X.

    CVE-ID

    CVE-2011-0215: Juan Pablo Lopez Yacubian bekerja sama dengan iDefense VCP.

  • WebKit

    Tersedia untuk: Windows 7, Vista, XP SP2 atau versi lebih baru

    Dampak: Serangan man-in-the-middle saat menelusuri iTunes Store melalui iTunes dapat menyebabkan app berhenti tiba-tiba atau eksekusi kode arbitrer.

    Deskripsi: Beberapa masalah kerusakan memori muncul di WebKit.

    CVE-ID

    CVE-2010-1823: David Weston dari Microsoft dan Microsoft Vulnerability Research (MSVR), wushi dari team509, dan Yong Li dari Research In Motion Ltd.

    CVE-2011-0164: Apple.

    CVE-2011-0218: SkyLined dari Tim Keamanan Google Chrome.

    CVE-2011-0221: Abhishek Arya (Inferno) dari Tim Keamanan Google Chrome.

    CVE-2011-0222: Nikita Tarakanov dan Alex Bazhanyuk dari CISS Research Team, dan Abhishek Arya (Inferno) dari Tim Keamanan Google Chrome.

    CVE-2011-0223: Jose A. Vazquez dari spa-s3c.blogspot.com bekerja sama dengan iDefense VCP.

    CVE-2011-0225: Abhishek Arya (Inferno) dari Tim Keamanan Google Chrome.

    CVE-2011-0232: J23 bekerja sama dengan Zero Day Initiative dari TippingPoint.

    CVE-2011-0233: wushi dari team509 bekerja sama dengan Zero Day Initiative dari TippingPoint.

    CVE-2011-0234: Rob King bekerjsa sama dengan Zero Day Initiative dari TippingPoint, wushi dari team509 bekerja sama dengan Zero Day Initiative dari TippingPoint, wushi dari team509 bekerja sama dengan iDefense VCP.

    CVE-2011-0235: Abhishek Arya (Inferno) dari Tim Keamanan Google Chrome.

    CVE-2011-0237: wushi dari team509 bekerja sama dengan iDefense VCP.

    CVE-2011-0238: Adam Barth dari Tim Keamanan Google Chrome.

    CVE-2011-0240: wushi dari team509 bekerja sama dengan iDefense VCP.

    CVE-2011-0253: Richard Keen.

    CVE-2011-0254: Peneliti anonim yang bekerja sama dengan Zero Day Initiative dari TippingPoint.

    CVE-2011-0255: Peneliti anonim yang bekerja sama dengan Zero Day Initiative dari TippingPoint.

    CVE-2011-0981: Rik Cabanier dari Adobe Systems, Inc.

    CVE-2011-0983: Martin Barbella.

    CVE-2011-1109: Sergey Glazunov.

    CVE-2011-1114: Martin Barbella.

    CVE-2011-1115: Martin Barbella.

    CVE-2011-1117: wushi dari team509.

    CVE-2011-1121: miaubiz.

    CVE-2011-1188: Martin Barbella.

    CVE-2011-1203: Sergey Glazunov.

    CVE-2011-1204: Sergey Glazunov.

    CVE-2011-1288: Andreas Kling dari Nokia.

    CVE-2011-1293: Sergey Glazunov.

    CVE-2011-1296: Sergey Glazunov.

    CVE-2011-1440: Jose A. Vazquez dari spa-s3c.blogspot.com.

    CVE-2011-1449: Marek Majkowski.

    CVE-2011-1451: Sergey Glazunov.

    CVE-2011-1453: wushi dari team509 bekerja sama dengan Zero Day Initiative dari TippingPoint.

    CVE-2011-1457: John Knottenbelt dari Google.

    CVE-2011-1462: wushi dari team509.

    CVE-2011-1797: wushi dari team509.

    CVE-2011-2338: Abhishek Arya (Inferno) dari Tim Keamanan Google Chrome menggunakan AddressSanitizer.

    CVE-2011-2339: Cris Neckar dari Tim Keamanan Google Chrome.

    CVE-2011-2341: Apple.

    CVE-2011-2351: miaubiz.

    CVE-2011-2352: Apple.

    CVE-2011-2354: Apple.

    CVE-2011-2356: Adam Barth dan Abhishek Arya dari Tim Keamanan Google Chrome menggunakan AddressSanitizer.

    CVE-2011-2359: miaubiz.

    CVE-2011-2788: Mikolaj Malecki dari Samsung.

    CVE-2011-2790: miaubiz.

    CVE-2011-2792: miaubiz.

    CVE-2011-2797: miaubiz.

    CVE-2011-2799: miaubiz.

    CVE-2011-2809: Abhishek Arya (Inferno) dari Tim Keamanan Google Chrome.

    CVE-2011-2811: Apple.

    CVE-2011-2813: Cris Neckar dari Tim Keamanan Google Chrome menggunakan AddressSanitizer.

    CVE-2011-2814: Abhishek Arya (Inferno) dari Tim Keamanan Google Chrome menggunakan AddressSanitizer.

    CVE-2011-2815: SkyLined dari Tim Keamanan Google Chrome.

    CVE-2011-2816: Apple.

    CVE-2011-2817: Abhishek Arya (Inferno) dari Tim Keamanan Google Chrome menggunakan AddressSanitizer.

    CVE-2011-2818: Martin Barbella.

    CVE-2011-2820: Raman Tenneti dan Philip Rogers dari Google.

    CVE-2011-2823: SkyLined dari Tim Keamanan Google Chrome.

    CVE-2011-2827: miaubiz.

    CVE-2011-2831: Abhishek Arya (Inferno) dari Tim Keamanan Google Chrome menggunakan AddressSanitizer.

    CVE-2011-3232: Aki Helin dari OUSPG.

    CVE-2011-3233: Sadrul Habib Chowdhury dari Komunitas pengembangan Chromium, Cris Neckar dan Abhishek Arya (Inferno) dari Tim Keamanan Google Chrome.

    CVE-2011-3234: miaubiz.

    CVE-2011-3235: Dimitri Glazkov, Kent Tamura, Dominic Cooney dari Komunitas pengembangan Chromium, dan Abhishek Arya (Inferno) dari Tim Keamanan Google Chrome.

    CVE-2011-3236: Abhishek Arya (Inferno) dari Tim Keamanan Google Chrome menggunakan AddressSanitizer.

    CVE-2011-3237: Dimitri Glazkov, Kent Tamura, Dominic Cooney dari komunitas pengembangan Chromium, dan Abhishek Arya (Inferno) dari Tim Keamanan Google Chrome.

    CVE-2011-3238: Martin Barbella.

    CVE-2011-3239: Slawomir Blazek.

    CVE-2011-3241: Apple.

    CVE-2011-3244: vkouchna.

  • WebKit

    Tersedia untuk: Windows 7, Vista, XP SP2 atau versi lebih baru.

    Dampak: Serangan man-in-the-middle dapat menyebabkan eksekusi kode arbitrer.

    Deskripsi: Masalah konfigurasi muncul saat WebKit menggunakan libxslt. Serangan man-in-the-middle saat menelusuri iTunes Store melalui iTunes dapat menyebabkan pembuatan file arbitrer dengan hak istimewa pengguna, yang dapat mengakibatkan eksekusi kode arbitrer. Masalah ini diatasi melalui pengaturan keamanan libxslt yang ditingkatkan.

    CVE-ID

    CVE-2011-1774: Nicolas Gregoire dari Agarri.

Penting: Penyebutan situs web dan produk pihak ketiga hanya untuk tujuan informasi dan bukan merupakan dukungan ataupun rekomendasi. Apple tidak bertanggung jawab sehubungan dengan pemilihan, kinerja, atau penggunaan informasi atau produk yang ditemukan di situs web pihak ketiga. Apple menyediakan ini hanya untuk memudahkan pengguna. Apple belum menguji informasi yang ditemukan di situs ini dan tidak membuat representasi mengenai akurasi atau keandalannya. Terdapat risiko yang melekat dalam penggunaan informasi atau produk yang ditemukan di Internet, dan Apple tidak bertanggung jawab dalam hal ini. Harap dipahami bahwa situs pihak ketiga tidak ada kaitannya dengan Apple dan bahwa Apple tidak memiliki kontrol atas konten di situs web tersebut. Silakan hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: