Dit artikel is gearchiveerd,het wordt niet meer bijgewerkt door Apple.

Over de beveiligingsinhoud van iTunes 10.5

In dit document wordt de beveiligingsinhoud van iTunes 10.5 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple beveiligingsreleases voor meer informatie over andere beveiligingsupdates.

iTunes 10.5

  • CoreFoundation

    Beschikbaar voor: Windows 7, Vista, XP SP2 of nieuwer.

    Impact: een man-in-the-middle-aanval kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    Beschrijving: er was een probleem met geheugenbeschadiging bij het splitsen van tekenreeksen. Dit probleem is niet van invloed op systemen met OS X Lion. Voor systemen met Mac OS X v10.6 wordt dit probleem verholpen in beveiligingsupdate 2011-006.

    CVE-ID

    CVE-2011-0259: Apple.

  • ColorSync

    Beschikbaar voor: Windows 7, Vista, XP SP2 of nieuwer.

    Impact: het bekijken van een kwaadwillig vervaardigde afbeelding met een ingesloten ColorSync-profiel kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    Beschrijving: er was een overloop bij gehele getallen bij het verwerken van afbeeldingen met een ingebed ColorSync-profiel, wat kan leiden tot een heapbufferoverloop. Het openen van een kwaadwillig vervaardigde afbeelding met een ingebed ColorSync-profiel kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is niet van invloed op systemen met OS X Lion.

    CVE-ID

    CVE-2011-0200: binaryproof in samenwerking met het Zero Day Initiative van TippingPoint.

  • CoreAudio

    Beschikbaar voor: Windows 7, Vista, XP SP2 of nieuwer.

    Impact: het afspelen van kwaadwillig vervaardigde audio-inhoud kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    Beschrijving: er was een bufferoverloop bij de verwerking van audiostromen die waren gecodeerd met geavanceerde audiocode. Dit probleem is niet van invloed op systemen met OS X Lion.

    CVE-ID

    CVE-2011-3252: Luigi Auriemma in samenwerking met het Zero Day Initiative van TippingPoint.

  • CoreMedia

    Beschikbaar voor: Windows 7, Vista, XP SP2 of nieuwer.

    Impact: Het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    Beschrijving: er was een bufferoverloop bij de verwerking van H.264-gecodeerde filmbestanden. Voor systemen met OS X Lion wordt dit probleem verholpen in OS X Lion v10.7.2. Voor systemen met Mac OS X v10.6 wordt dit probleem verholpen in beveiligingsupdate 2011-006.

    CVE-ID

    CVE-2011-3219: Damian Put in samenwerking met het Zero Day Initiative van TippingPoint.

  • ImageIO

    Beschikbaar voor: Windows 7, Vista, XP SP2 of nieuwer.

    Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    Beschrijving: er was een heapbufferoverloop bij de verwerking van TIFF-afbeeldingen door ImageIO. Dit probleem is niet van invloed op systemen met OS X Lion. Voor systemen met Mac OS X v10.6 wordt dit probleem verholpen in Mac OS X v10.6.8.

    CVE-ID

    CVE-2011-0204: Dominic Chell van NGS Secure.

  • ImageIO

    Beschikbaar voor: Windows 7, Vista, XP SP2 of nieuwer.

    Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    Beschrijving: er was een invoerprobleem bij de verwerking van TIFF-afbeeldingen door ImageIO. Dit probleem is niet van invloed op systemen met Mac OS X.

    CVE-ID

    CVE-2011-0215: Juan Pablo Lopez Yacubian in samenwerking met iDefense VCP.

  • WebKit

    Beschikbaar voor: Windows 7, Vista, XP SP2 of nieuwer

    Impact: een man-in-the-middle-aanval tijdens het bladeren in de iTunes Store via iTunes kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging in WebKit.

    CVE-ID

    CVE-2010-1823: David Weston van Microsoft en Microsoft Vulnerability Research (MSVR), wushi van team509 en Yong Li van Research In Motion Ltd.

    CVE-2011-0164: Apple.

    CVE-2011-0218: Skylined van het Google Chrome Security Team.

    CVE-2011-0221: Abhishek Arya (Inferno) van het Google Chrome Security Team.

    CVE-2011-0222: Nikita Tarakanov en Alex Bazhanyuk van het CISS Research Team, en Abhishek Arya (Inferno) van het Google Chrome Security Team.

    CVE-2011-0223: Jose A. Vazquez van spa-s3c.blogspot.com in samenwerking met iDefense VCP.

    CVE-2011-0225: Abhishek Arya (Inferno) van het Google Chrome Security Team.

    CVE-2011-0232: J23 in samenwerking met het Zero Day Initiative van TippingPoint.

    CVE-2011-0233: wushi van team509 in samenwerking met het Zero Day Initiative van TippingPoint.

    CVE-2011-0234: Rob King in samenwerking met het Zero Day Initiative van TippingPoint, wushi van team509 in samenwerking met het Zero Day Initiative van TippingPoint, wushi van team509 in samenwerking met iDefense VCP.

    CVE-2011-0235: Abhishek Arya (Inferno) van het Google Chrome Security Team.

    CVE-2011-0237: wushi van team509 in samenwerking met iDefense VCP.

    CVE-2011-0238: Adam Barth van het Google Chrome Security Team.

    CVE-2011-0240: wushi van team509 in samenwerking met iDefense VCP.

    CVE-2011-0253: Richard Keen.

    CVE-2011-0254: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint.

    CVE-2011-0255: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint.

    CVE-2011-0981: Rik Cabanier van Adobe Systems, Inc.

    CVE-2011-0983: Martin Barbella.

    CVE-2011-1109: Sergey Glazunov.

    CVE-2011-1114: Martin Barbella.

    CVE-2011-1115: Martin Barbella.

    CVE-2011-1117: wushi van team509.

    CVE-2011-1121: miaubiz.

    CVE-2011-1188: Martin Barbella.

    CVE-2011-1203: Sergey Glazunov.

    CVE-2011-1204: Sergey Glazunov.

    CVE-2011-1288: Andreas Kling van Nokia.

    CVE-2011-1293: Sergey Glazunov.

    CVE-2011-1296: Sergey Glazunov.

    CVE-2011-1440: Jose A. Vazquez van spa-s3c.blogspot.com.

    CVE-2011-1449: Marek Majkowski.

    CVE-2011-1451: Sergey Glazunov.

    CVE-2011-1453: wushi van team509 in samenwerking met het Zero Day Initiative van TippingPoint.

    CVE-2011-1457: John Knottenbelt van Google.

    CVE-2011-1462: wushi van team509.

    CVE-2011-1797: wushi van team509.

    CVE-2011-2338: Abhishek Arya (Inferno) van het Google Chrome Security Team met AddressSanitizer.

    CVE-2011-2339: Cris Neckar van het Google Chrome Security Team.

    CVE-2011-2341: Apple.

    CVE-2011-2351: miaubiz.

    CVE-2011-2352: Apple.

    CVE-2011-2354: Apple.

    CVE-2011-2356: Adam Barth en Abhishek Arya van het Google Chrome Security Team met AddressSanitizer.

    CVE-2011-2359: miaubiz.

    CVE-2011-2788: Mikolaj Malecki van Samsung.

    CVE-2011-2790: miaubiz.

    CVE-2011-2792: miaubiz.

    CVE-2011-2797: miaubiz.

    CVE-2011-2799: miaubiz.

    CVE-2011-2809: Abhishek Arya (Inferno) van het Google Chrome Security Team.

    CVE-2011-2811: Apple.

    CVE-2011-2813: Cris Neckar van het Google Chrome Security Team met AddressSanitizer.

    CVE-2011-2814: Abhishek Arya (Inferno) van het Google Chrome Security Team met AddressSanitizer.

    CVE-2011-2815: SkyLined van het Google Chrome Security Team.

    CVE-2011-2816: Apple.

    CVE-2011-2817: Abhishek Arya (Inferno) van het Google Chrome Security Team met AddressSanitizer.

    CVE-2011-2818: Martin Barbella.

    CVE-2011-2820: Raman Tenneti en Philip Rogers van Google.

    CVE-2011-2823: SkyLined van het Google Chrome Security Team.

    CVE-2011-2827: miaubiz.

    CVE-2011-2831: Abhishek Arya (Inferno) van het Google Chrome Security Team met AddressSanitizer.

    CVE-2011-3232: Aki Helin van OUSPG.

    CVE-2011-3233: Sadrul Habib Chowdhury van de Chromium-ontwikkelingscommunity, Cris Neckar en Abhishek Arya (Inferno) van het Google Chrome Security Team.

    CVE-2011-3234: miaubiz.

    CVE-2011-3235: Dimitri Glazkov, Kent Tamura en Dominic Cooney van de Chromium-ontwikkelingscommunity, Cris Neckar en Abhishek Arya (Inferno) van het Google Chrome Security Team.

    CVE-2011-3236: Abhishek Arya (Inferno) van het Google Chrome Security Team met AddressSanitizer.

    CVE-2011-3237: Dimitri Glazkov, Kent Tamura en Dominic Cooney van de Chromium-ontwikkelingscommunity, Cris Neckar en Abhishek Arya (Inferno) van het Google Chrome Security Team.

    CVE-2011-3238: Martin Barbella.

    CVE-2011-3239: Slawomir Blazek.

    CVE-2011-3241: Apple.

    CVE-2011-3244: vkouchna.

  • WebKit

    Beschikbaar voor: Windows 7, Vista, XP SP2 of nieuwer.

    Impact: een man-in-the-middle-aanval kan leiden tot het uitvoeren van willekeurige code.

    Beschrijving: het gebruik van libxslt van WebKit bevatte een configuratieprobleem. Een man-in-the-middle-aanval tijdens het bladeren in de iTunes Store via iTunes kan leiden tot het creëren van willekeurige bestanden met bevoegdheden van de gebruiker, wat vervolgens kan leiden tot het uitvoeren van willekeurige code. Dit probleem wordt verholpen door verbeterde beveiligingsinstellingen voor libxslt.

    CVE-ID

    CVE-2011-1774: Nicolas Gregoire van Agarri.

Belangrijk: De vermelding van websites en producten van derden is alleen bedoeld ter informatie en impliceert niet dat wij deze websites of producten goedkeuren of aanbevelen. Apple aanvaardt geen verantwoordelijkheid met betrekking tot de selectie, prestaties of het gebruik van informatie of producten op websites van derden. Apple biedt dit alleen aan voor het gemak van onze gebruikers. Apple heeft de informatie op deze sites niet getest en doet geen uitspraken over de juistheid of betrouwbaarheid ervan. Er zijn risico's verbonden aan het gebruik van informatie of producten die op internet worden gevonden en Apple aanvaardt in dit verband geen enkele verantwoordelijkheid. Het is belangrijk om je te realiseren dat een site van derden onafhankelijk is van Apple en dat Apple geen controle heeft over het materiaal op die website. Neem voor meer informatie contact op met de leverancier.

Publicatiedatum: