Informazioni sui contenuti di sicurezza di iTunes 9.1

In questo documento vengono descritti i contenuti di sicurezza di iTunes 9.1.

Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza consulta l'articolo che parla degli aggiornamenti di sicurezza Apple.

iTunes 9.1

  • ColorSync

    CVE-ID: CVE-2010-0040

    Disponibile per: Windows 7, Vista, XP

    Impatto: la visualizzazione di un'immagine pericolosa con un profilo colore incorporato può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un overflow dei numeri interi che può causare un overflow del buffer di heap nella gestione delle immagini con un profilo colore incorporato. L'apertura di un'immagine pericolosa con un profilo colore incorporato può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Il problema è stato risolto eseguendo un'ulteriore convalida dei profili colore. Il problema non interessa i sistemi Mac OS X. Ringraziamo Sebastien Renaud del team VUPEN Vulnerability Research per aver segnalato il problema.

  • ImageIO

    CVE-ID: CVE-2009-2285

    Disponibile per: Windows 7, Vista, XP

    Impatto: la visualizzazione di un'immagine TIFF pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un underflow del buffer nella gestione delle immagini TIFF da parte di ImageIO. La visualizzazione di un'immagine TIFF pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema è stato risolto attraverso un migliore controllo dei limiti. Per i sistemi Mac OS X 10.6, questo problema è stato risolto in Mac OS X 10.6.2. Per i sistemi Mac OS X 10.5, questo problema è stato risolto con l'aggiornamento di sicurezza 2010-001.

  • ImageIO

    CVE-ID: CVE-2010-0041

    Disponibile per: Windows 7, Vista, XP

    Impatto: l'accesso a un sito web pericoloso può causare l'invio di dati dalla memoria di Safari al sito web.

    Descrizione: si verifica un problema relativo all'accesso alla memoria non inizializzata nella gestione delle immagini BMP di ImageIO. L'accesso a un sito web dannoso può comportare l'invio di dati dalla memoria di Safari al sito web. Questo problema è stato risolto grazie a una migliore gestione della memoria e a un'ulteriore convalida delle immagini BMP. Per i sistemi Mac OS X 10.6, questo problema è stato risolto in Mac OS X 10.6.3. Per i sistemi Mac OS X 10.5, questo problema è stato risolto con l'aggiornamento di sicurezza 2010-002. Ringraziamo Matthew Jurczyk (j00ru) di Hispasec per aver segnalato il problema.

  • ImageIO

    CVE-ID: CVE-2010-0042

    Disponibile per: Windows 7, Vista, XP

    Impatto: l'accesso a un sito web pericoloso può causare l'invio di dati dalla memoria di Safari al sito web.

    Descrizione: si verifica un problema relativo all'accesso alla memoria non inizializzata nella gestione delle immagini TIFF di ImageIO. L'accesso a un sito web dannoso può comportare l'invio di dati dalla memoria di Safari al sito web. Questo problema è stato risolto grazie a una migliore gestione della memoria e a un'ulteriore convalida delle immagini TIFF. Per i sistemi Mac OS X 10.6, questo problema è stato risolto in Mac OS X 10.6.3. Per i sistemi Mac OS X 10.5, questo problema è stato risolto con l'aggiornamento di sicurezza 2010-002. Ringraziamo Matthew Jurczyk (j00ru) di Hispasec per aver segnalato il problema.

  • ImageIO

    CVE-ID: CVE-2010-0043

    Disponibile per: Windows 7, Vista, XP

    Impatto: l'elaborazione di un'immagine TIFF pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di corruzione della memoria nella gestione delle immagini TIFF. L'elaborazione di un'immagine TIFF pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Il problema è stato risolto mediante una migliore gestione della memoria. Per i sistemi Mac OS X 10.6, questo problema è stato risolto in Mac OS X 10.6.3. Questo problema non interessa i sistemi precedenti a Mac OS X 10.6. Ringraziamo Gus Mueller di Flying Meat per aver segnalato il problema.

  • iTunes

    CVE-ID: CVE-2010-0531

    Disponibile per: Mac OS X 10.4.11 o versioni successive, Mac OS X Server 10.4.11 o versioni successive, Windows 7, Vista, XP

    Impatto: l'importazione di un file MP4 pericoloso può causare l'interruzione del servizio.

    Descrizione: si verifica un problema di loop infinito nella gestione dei file MP4. Un podcast pericoloso può causare un loop infinito in iTunes e impedirne il funzionamento anche dopo il riavvio. Questo problema è stato risolto mediante una migliore convalida dei file MP4. Ringraziamo Sojeong Hong di Sourcefire VRT per aver segnalato il problema.

  • iTunes

    CVE-ID: CVE-2010-0532

    Disponibile per: Windows 7, Vista, XP

    Impatto: un utente locale può essere in grado di ottenere privilegi di sistema durante l'installazione di iTunes.

    Descrizione: si verifica un problema di escalation dei privilegi nel pacchetto di installazione di iTunes per Windows. Durante il processo di installazione, una race condition può consentire a un utente locale di modificare un file che viene poi eseguito con privilegi di sistema. Il problema è stato risolto migliorando i controlli di accesso ai file di installazione. Il problema non interessa i sistemi Mac OS X. Ringraziamo Jason Geffner di NGSSoftware per aver segnalato il problema.

  • iTunes

    CVE-ID: CVE-2010-1768

    Disponibile per: Mac OS X 10.4.11 o versioni successive, Mac OS X Server 10.4.11 o versioni successive

    Impatto: la sincronizzazione di un dispositivo mobile può consentire a un utente locale di acquisire privilegi elevati.

    Descrizione: si verifica un problema di operazioni sui file non sicure nella gestione dei file di log per i dispositivi mobili. La sincronizzazione di un iPhone, iPad o iPod touch può consentire a un utente locale di acquisire i privilegi dell'utente di console. Questo problema è stato risolto mediante una migliore gestione dei file di log. Ringraziamo Jon Passki e Nicolas Seriot di HEIG-VD per aver segnalato il problema.

  • iTunes

    CVE-ID: CVE-2010-1795

    Disponibile per: Windows 7, Vista, XP

    Impatto: l'apertura di un file in una directory pericolosa può portare all'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema nella ricerca dei percorsi in iTunes. iTunes cercherà una DLL specifica nella directory di lavoro attuale. Se un utente inserisce un file pericoloso con un nome specifico in una directory, l'apertura di un altro file in quella directory in iTunes può portare all'esecuzione di codice arbitrario. Questo problema è stato risolto rimuovendo il codice che utilizza la DLL. Il problema non interessa i sistemi Mac OS X. Ringraziamo Simon Raner di ACROS Security per aver segnalato il problema.

Importante: le informazioni sui prodotti non realizzati da Apple vengono fornite solo a scopo informativo e non costituiscono raccomandazione né approvazione da parte di Apple. Per ulteriori informazioni, contatta il fornitore.

Data di pubblicazione: