Informazioni sul contenuto di sicurezza di iTunes 9.1

In questo documento viene descritto il contenuto di sicurezza di iTunes 9.1.

Per proteggere i propri clienti, Apple non divulga né discute o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Per ulteriori informazioni al riguardo, è possibile consultare il sito Web sulla sicurezza dei prodotti Apple.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo "Come utilizzare la chiave PGP per la sicurezza dei prodotti Apple".

Quando possibile, per ulteriori informazioni relative alle vulnerabilità vengono utilizzati gli ID CVE.

Per conoscere gli altri aggiornamenti relativi alla sicurezza, consulta "Aggiornamenti di sicurezza Apple".

iTunes 9.1

  • ColorSync

    ID CVE: CVE-2010-0040

    Disponibile per: Windows 7, Vista e XP

    Impatto: la visualizzazione di un'immagine pericolosa con un profilo colore integrato può causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un overflow di numeri interi che potrebbe determinare un overflow nel buffer di heap nella gestione di immagini con un profilo colore integrato. L'apertura di un'immagine pericolosa con un profilo colore integrato può comportare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario. Il problema può essere risolto eseguendo ulteriori convalide dei profili colore. Il problema non interessa i sistemi Mac OS X. Ringraziamo Sebastien Renaud del VUPEN Vulnerability Research Team per aver segnalato il problema.

  • ImageIO

    ID CVE: CVE-2009-2285

    Disponibile per: Windows 7, Vista e XP

    Impatto: la visualizzazione di un'immagine TIFF pericolosa può causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un overflow del buffer nella gestione delle immagini TIFF da parte di ImageIO. La visualizzazione di un'immagine TIFF pericolosa può causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario. Questo problema viene risolto mediante un migliore controllo dei limiti. Per quanto riguarda i sistemi Mac OS X 10.6, il problema è stato risolto in Mac OS X 10.6.2. Per i sistemi Mac OS X 10.5, il problema è stato risolto tramite l'aggiornamento di sicurezza 2010-001.

  • ImageIO

    ID CVE: CVE-2010-0041

    Disponibile per: Windows 7, Vista e XP

    Impatto: l'accesso a un sito Web pericoloso può comportare l'invio di dati dalla memoria di Safari al sito Web.

    Descrizione: si verifica un problema di accesso alla memoria non inizializzata nella gestione delle immagini BMP da parte di ImageIO. L'accesso a un sito Web pericoloso può comportare l'invio di dati dalla memoria di Safari al sito Web. Questo problema viene risolto mediante una migliore gestione della memoria e un'ulteriore convalida delle immagini BMP. Per quanto riguarda i sistemi Mac OS X 10.6, il problema è stato risolto in Mac OS X 10.6.3. Per i sistemi Mac OS X 10.5, il problema è stato risolto tramite l'aggiornamento di sicurezza 2010-002. Ringraziamo Matthew "j00ru" Jurczyk di Hispasec per aver segnalato il problema.

  • ImageIO

    ID CVE: CVE-2010-0042

    Disponibile per: Windows 7, Vista e XP

    Impatto: l'accesso a un sito Web pericoloso può comportare l'invio di dati dalla memoria di Safari al sito Web.

    Descrizione: si verifica un problema di accesso alla memoria non inizializzata nella gestione delle immagini TIFF da parte di ImageIO. L'accesso a un sito Web pericoloso può comportare l'invio di dati dalla memoria di Safari al sito Web. Questo problema viene risolto mediante una migliore gestione della memoria e un'ulteriore convalida delle immagini TIFF. Per quanto riguarda i sistemi Mac OS X 10.6, il problema è stato risolto in Mac OS X 10.6.3. Per i sistemi Mac OS X 10.5, il problema è stato risolto tramite l'aggiornamento di sicurezza 2010-002. Ringraziamo Matthew "j00ru" Jurczyk di Hispasec per aver segnalato il problema.

  • ImageIO

    ID CVE: CVE-2010-0043

    Disponibile per: Windows 7, Vista e XP

    Impatto: l'elaborazione di un'immagine TIFF pericolosa può causare la chiusura improvvisa delle applicazioni o l'esecuzione di codice arbitrario.

    Descrizione: si verifica un danneggiamento della memoria nella gestione delle immagini TIFF. L'elaborazione di un'immagine TIFF pericolosa potrebbe causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario. Questo problema viene risolto mediante una migliore gestione della memoria. Per i sistemi Mac OS X v10.6, questo problema viene risolto in Mac OS X v10.6.3. Questo problema non interessa i sistemi precedenti a Mac OS X v10.6. Ringraziamo Gus Mueller di Flying Meat per aver segnalato il problema.

  • iTunes

    ID CVE: CVE-2010-0531

    Disponibile per: Mac OS X v10.4.11 o versioni più recenti, Mac OS X Server v10.4.11 o versioni più recenti, Windows 7, Vista e XP

    Impatto: l'importazione di un file MP4 pericoloso può causare l'interruzione del servizio.

    Descrizione: si verifica un problema di ciclo infinito nella gestione dei file MP4. Un podcast pericoloso potrebbe causare un ciclo infinito di iTunes e impedirne il funzionamento anche se viene riavviato. Questo problema viene risolto mediante una migliore convalida dei file MP4. Ringraziamo Sojeong Hong di Sourcefire VRT per aver segnalato questo problema.

  • iTunes

    ID CVE: CVE-2010-0532

    Disponibile per: Windows 7, Vista e XP

    Impatto: un utente locale potrebbe essere in grado di ottenere privilegi di sistema durante l'installazione di iTunes.

    Descrizione: si verifica un problema di escalation dei privilegi nel pacchetto di installazione di iTunes per Windows. Durante il processo di installazione una race condition potrebbe consentire a un utente locale di modificare un file che viene quindi eseguito con privilegi di sistema. Il problema viene risolto mediante controlli di accesso migliorati per i file di installazione. Questo problema non interessa i sistemi Mac OS X. Ringraziamo Jason Geffner di NGSSoftware per aver riferito questo problema.

  •  

    iTunes

    ID CVE: CVE-2010-1768

    Disponibile per: Mac OS X v10.4.11 o versioni più recenti, Mac OS X Server v10.4.11 o versioni più recenti

    Impatto: la sincronizzazione di un dispositivo mobile può consentire a un utente locale di ottenere privilegi elevati.

    Descrizione: si verifica un problema di sicurezza dell'operatività durante la gestione di resoconti per i dispositivi mobili. La sincronizzazione di iPhone, iPad o iPod touch può consentire a un utente locale di ottenere privilegi elevati. Il problema viene risolto mediante una migliore gestione dei resoconti. Ringraziamo Jon Passki e Nicolas Seriot di HEIG-VD per aver segnalato il problema.

  •  

    iTunes

    ID CVE: CVE-2010-1795

    Disponibile per: Windows 7, Vista e XP

    Impatto: l'apertura di un file in una directory creata per scopi illeciti potrebbe comportare l'esecuzione di codice arbitrario.

    Descrizione: si verifica un problema di ricerca del percorso in iTunes. iTunes ricercherà uno specifico DLL nell'attuale directory di lavoro. Se un malintenzionato posiziona un file pericoloso con un nome specifico in una directory, l'apertura di un altro file in quella directory in iTunes può comportare l'esecuzione di codice arbitrario. Questo problema viene risolto rimuovendo il codice che utilizza il DLL. Questo problema non interessa i sistemi Mac OS X. Ringraziamo Simon Raner di ACROS Security per aver segnalato il problema.

 

Data di pubblicazione: