Over de beveiligingsinhoud van iTunes 10.5

In dit document wordt de beveiligingsinhoud van iTunes 10.5 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple beveiligingsreleases voor meer informatie over andere beveiligingsupdates.

iTunes 10.5

• CoreFoundation

  Beschikbaar voor: Windows 7, Vista, XP SP2 of nieuwer.

  Impact: een man-in-the-middle-aanval kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

  Beschrijving: er was een probleem met geheugenbeschadiging bij het splitsen van tekenreeksen. Dit probleem is niet van invloed op systemen met OS X Lion. Voor systemen met Mac OS X v10.6 wordt dit probleem verholpen in beveiligingsupdate 2011-006.

  CVE-ID

  CVE-2011-0259: Apple.

• ColorSync

  Beschikbaar voor: Windows 7, Vista, XP SP2 of nieuwer.

  Impact: het bekijken van een kwaadwillig vervaardigde afbeelding met een ingesloten ColorSync-profiel kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

  Beschrijving: er was een overloop bij gehele getallen bij het verwerken van afbeeldingen met een ingebed ColorSync-profiel, wat kan leiden tot een heapbufferoverloop. Het openen van een kwaadwillig vervaardigde afbeelding met een ingebed ColorSync-profiel kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is niet van invloed op systemen met OS X Lion.

  CVE-ID

  CVE-2011-0200: binaryproof in samenwerking met het Zero Day Initiative van TippingPoint.

• CoreAudio

  Beschikbaar voor: Windows 7, Vista, XP SP2 of nieuwer.

  Impact: het afspelen van kwaadwillig vervaardigde audio-inhoud kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

  Beschrijving: er was een bufferoverloop bij de verwerking van audiostromen die waren gecodeerd met geavanceerde audiocode. Dit probleem is niet van invloed op systemen met OS X Lion.

  CVE-ID

  CVE-2011-3252: Luigi Auriemma in samenwerking met het Zero Day Initiative van TippingPoint.

• CoreMedia

  Beschikbaar voor: Windows 7, Vista, XP SP2 of nieuwer.

  Impact: Het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

  Beschrijving: er was een bufferoverloop bij de verwerking van H.264-gecodeerde filmbestanden. Voor systemen met OS X Lion wordt dit probleem verholpen in OS X Lion v10.7.2. Voor systemen met Mac OS X v10.6 wordt dit probleem verholpen in beveiligingsupdate 2011-006.

  CVE-ID

  CVE-2011-3219: Damian Put in samenwerking met het Zero Day Initiative van TippingPoint.

• ImageIO

  Beschikbaar voor: Windows 7, Vista, XP SP2 of nieuwer.

  Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

  Beschrijving: er was een heapbufferoverloop bij de verwerking van TIFF-afbeeldingen door ImageIO. Dit probleem is niet van invloed op systemen met OS X Lion. Voor systemen met Mac OS X v10.6 wordt dit probleem verholpen in Mac OS X v10.6.8.

  CVE-ID

  CVE-2011-0204: Dominic Chell van NGS Secure.

• ImageIO

  Beschikbaar voor: Windows 7, Vista, XP SP2 of nieuwer.

  Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

  Beschrijving: er was een invoerprobleem bij de verwerking van TIFF-afbeeldingen door ImageIO. Dit probleem is niet van invloed op systemen met Mac OS X.

  CVE-ID

  CVE-2011-0215: Juan Pablo Lopez Yacubian in samenwerking met iDefense VCP.

• WebKit

  Beschikbaar voor: Windows 7, Vista, XP SP2 of nieuwer

  Impact: een man-in-the-middle-aanval tijdens het bladeren in de iTunes Store via iTunes kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

  Beschrijving: er waren meerdere problemen met geheugenbeschadiging in WebKit.

  CVE-ID

  CVE-2010-1823: David Weston van Microsoft en Microsoft Vulnerability Research (MSVR), wushi van team509 en Yong Li van Research In Motion Ltd.

  CVE-2011-0164: Apple.

  CVE-2011-0218: Skylined van het Google Chrome Security Team.

  CVE-2011-0221: Abhishek Arya (Inferno) van het Google Chrome Security Team.

  CVE-2011-0222: Nikita Tarakanov en Alex Bazhanyuk van het CISS Research Team, en Abhishek Arya (Inferno) van het Google Chrome Security Team.

  CVE-2011-0223: Jose A. Vazquez van spa-s3c.blogspot.com in samenwerking met iDefense VCP.

  CVE-2011-0225: Abhishek Arya (Inferno) van het Google Chrome Security Team.

  CVE-2011-0232: J23 in samenwerking met het Zero Day Initiative van TippingPoint.

  CVE-2011-0233: wushi van team509 in samenwerking met het Zero Day Initiative van TippingPoint.

  CVE-2011-0234: Rob King in samenwerking met het Zero Day Initiative van TippingPoint, wushi van team509 in samenwerking met het Zero Day Initiative van TippingPoint, wushi van team509 in samenwerking met iDefense VCP.

  CVE-2011-0235: Abhishek Arya (Inferno) van het Google Chrome Security Team.

  CVE-2011-0237: wushi van team509 in samenwerking met iDefense VCP.

  CVE-2011-0238: Adam Barth van het Google Chrome Security Team.

  CVE-2011-0240: wushi van team509 in samenwerking met iDefense VCP.

  CVE-2011-0253: Richard Keen.

  CVE-2011-0254: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint.

  CVE-2011-0255: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint.

  CVE-2011-0981: Rik Cabanier van Adobe Systems, Inc.

  CVE-2011-0983: Martin Barbella.

  CVE-2011-1109: Sergey Glazunov.

  CVE-2011-1114: Martin Barbella.

  CVE-2011-1115: Martin Barbella.

  CVE-2011-1117: wushi van team509.

  CVE-2011-1121: miaubiz.

  CVE-2011-1188: Martin Barbella.

  CVE-2011-1203: Sergey Glazunov.

  CVE-2011-1204: Sergey Glazunov.

  CVE-2011-1288: Andreas Kling van Nokia.

  CVE-2011-1293: Sergey Glazunov.

  CVE-2011-1296: Sergey Glazunov.

  CVE-2011-1440: Jose A. Vazquez van spa-s3c.blogspot.com.

  CVE-2011-1449: Marek Majkowski.

  CVE-2011-1451: Sergey Glazunov.

  CVE-2011-1453: wushi van team509 in samenwerking met het Zero Day Initiative van TippingPoint.

  CVE-2011-1457: John Knottenbelt van Google.

  CVE-2011-1462: wushi van team509.

  CVE-2011-1797: wushi van team509.

  CVE-2011-2338: Abhishek Arya (Inferno) van het Google Chrome Security Team met AddressSanitizer.

  CVE-2011-2339: Cris Neckar van het Google Chrome Security Team.

  CVE-2011-2341: Apple.

  CVE-2011-2351: miaubiz.

  CVE-2011-2352: Apple.

  CVE-2011-2354: Apple.

  CVE-2011-2356: Adam Barth en Abhishek Arya van het Google Chrome Security Team met AddressSanitizer.

  CVE-2011-2359: miaubiz.

  CVE-2011-2788: Mikolaj Malecki van Samsung.

  CVE-2011-2790: miaubiz.

  CVE-2011-2792: miaubiz.

  CVE-2011-2797: miaubiz.

  CVE-2011-2799: miaubiz.

  CVE-2011-2809: Abhishek Arya (Inferno) van het Google Chrome Security Team.

  CVE-2011-2811: Apple.

  CVE-2011-2813: Cris Neckar van het Google Chrome Security Team met AddressSanitizer.

  CVE-2011-2814: Abhishek Arya (Inferno) van het Google Chrome Security Team met AddressSanitizer.

  CVE-2011-2815: SkyLined van het Google Chrome Security Team.

  CVE-2011-2816: Apple.

  CVE-2011-2817: Abhishek Arya (Inferno) van het Google Chrome Security Team met AddressSanitizer.

  CVE-2011-2818: Martin Barbella.

  CVE-2011-2820: Raman Tenneti en Philip Rogers van Google.

  CVE-2011-2823: SkyLined van het Google Chrome Security Team.

  CVE-2011-2827: miaubiz.

  CVE-2011-2831: Abhishek Arya (Inferno) van het Google Chrome Security Team met AddressSanitizer.

  CVE-2011-3232: Aki Helin van OUSPG.

  CVE-2011-3233: Sadrul Habib Chowdhury van de Chromium-ontwikkelingscommunity, Cris Neckar en Abhishek Arya (Inferno) van het Google Chrome Security Team.

  CVE-2011-3234: miaubiz.

  CVE-2011-3235: Dimitri Glazkov, Kent Tamura en Dominic Cooney van de Chromium-ontwikkelingscommunity, Cris Neckar en Abhishek Arya (Inferno) van het Google Chrome Security Team.

  CVE-2011-3236: Abhishek Arya (Inferno) van het Google Chrome Security Team met AddressSanitizer.

  CVE-2011-3237: Dimitri Glazkov, Kent Tamura en Dominic Cooney van de Chromium-ontwikkelingscommunity, Cris Neckar en Abhishek Arya (Inferno) van het Google Chrome Security Team.

  CVE-2011-3238: Martin Barbella.

  CVE-2011-3239: Slawomir Blazek.

  CVE-2011-3241: Apple.

  CVE-2011-3244: vkouchna.

• WebKit

  Beschikbaar voor: Windows 7, Vista, XP SP2 of nieuwer.

  Impact: een man-in-the-middle-aanval kan leiden tot het uitvoeren van willekeurige code.

  Beschrijving: het gebruik van libxslt van WebKit bevatte een configuratieprobleem. Een man-in-the-middle-aanval tijdens het bladeren in de iTunes Store via iTunes kan leiden tot het creëren van willekeurige bestanden met bevoegdheden van de gebruiker, wat vervolgens kan leiden tot het uitvoeren van willekeurige code. Dit probleem wordt verholpen door verbeterde beveiligingsinstellingen voor libxslt.

  CVE-ID

  CVE-2011-1774: Nicolas Gregoire van Agarri.