De beveiligingsinhoud van iTunes 9.1

In dit artikel wordt de beveiligingsinhoud van iTunes 9.1 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg "De Apple PGP-sleutel voor productbeveiliging gebruiken" voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Ga naar "Apple-beveiligingsupdates" voor meer informatie over andere beveiligingsupdates.

iTunes 9.1

  • ColorSync

    CVE-ID: CVE-2010-0040

    Beschikbaar voor: Windows 7, Vista, XP

    Impact: het bekijken van een kwaadwillig vervaardigde afbeelding met een ingebed kleurprofiel kan leiden tot het onverwacht beëindigen van een programma of het uitvoeren van willekeurige code

    Beschrijving: er treedt een overloop bij gehele getallen op die kan leiden tot een heapbufferoverloop bij het verwerken van afbeeldingen met een ingebed kleurprofiel. Het openen van een kwaadwillig vervaardigde afbeelding met een ingebed kleurprofiel kan leiden tot het onverwacht beëindigen van een programma of het uitvoeren van willekeurige code. Het probleem wordt verholpen door een extra controle van de kleurprofielen uit te voeren. Dit probleem geldt niet voor Mac OS X-systemen. Met dank aan Renaud van het VUPEN Vulnerability Research Team voor het melden van dit probleem.

  • ImageIO

    CVE-ID: CVE-2009-2285

    Beschikbaar voor: Windows 7, Vista, XP

    Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er treedt een bufferonderloop op in de verwerking van TIFF-afbeeldingen door ImageIO. Het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door middel van verbeterde bounds checking. Voor Mac OS X v10.6-systemen wordt dit probleem verholpen in Mac OS X v10.6.2. Voor Mac OS X v10.5-systemen wordt dit probleem verholpen in Beveiligingsupdate 2010-001.

  • ImageIO

    CVE-ID: CVE-2010-0041

    Beschikbaar voor: Windows 7, Vista, XP

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het versturen van informatie vanuit het geheugen van Safari naar de website

    Beschrijving: er is een probleem met een niet-geïnitialiseerde geheugentoegang bij het verwerken van BMP-afbeeldingen door ImageIO. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het versturen van informatie vanuit het geheugen van Safari naar de website. Dit probleem wordt verholpen door een verbeterde afhandeling van het geheugen en een extra validatie van BMP-afbeeldingen. Voor Mac OS X v10.6-systemen wordt dit probleem verholpen in Mac OS X v10.6.3. Voor Mac OS X v10.5-systemen wordt dit probleem verholpen in Beveiligingsupdate 2010-002. Met dank aan Matthew 'j00ru' Jurczyk van Hispasec voor het melden van dit probleem.

  • ImageIO

    CVE-ID: CVE-2010-0042

    Beschikbaar voor: Windows 7, Vista, XP

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het versturen van informatie vanuit het geheugen van Safari naar de website

    Beschrijving: er is een probleem met een niet-geïnitialiseerde geheugentoegang bij het verwerken van TIFF-afbeeldingen door ImageIO. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het versturen van informatie vanuit het geheugen van Safari naar de website. Dit probleem wordt verholpen door een verbeterde afhandeling van het geheugen en een extra validatie van TIFF-afbeeldingen. Voor Mac OS X v10.6-systemen wordt dit probleem verholpen in Mac OS X v10.6.3. Voor Mac OS X v10.5-systemen wordt dit probleem verholpen in Beveiligingsupdate 2010-002. Met dank aan Matthew 'j00ru' Jurczyk van Hispasec voor het melden van dit probleem.

  • ImageIO

    CVE-ID: CVE-2010-0043

    Beschikbaar voor: Windows 7, Vista, XP

    Impact: het verwerken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of uitvoeren van willekeurige code

    Beschrijving: er doet zich een probleem met geheugenbeschadiging voor bij het verwerken van TIFF-afbeeldingen. Het verwerken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde afhandeling van het geheugen. Voor systemen met Mac OS X v10.6 wordt dit probleem verholpen in Mac OS X v10.6.3. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.6. Met dank aan Gus Mueller van Flying Meat voor het melden van dit probleem.

  • iTunes

    CVE-ID: CVE-2010-0531

    Beschikbaar voor: Mac OS X v10.4.11 of later, Mac OS X Server v10.4.11 of later, Windows 7, Vista, XP

    Impact: het importeren van een kwaadwillig vervaardigd MP4-bestand kan leiden tot een denial of service

    Beschrijving: er treedt een oneindige lus op in de verwerking van MP4-bestanden. Een kwaadwillig vervaardigde podcast kan een oneindige lus in iTunes veroorzaken en kan de werking ervan voorkomen, zelfs nadat deze opnieuw wordt gestart. Dit probleem wordt verholpen door een verbeterde validatie van MP4-bestanden. Met dank aan Sojeong Hong van Sourcefire VRT voor het melden van dit probleem.

  • iTunes

    CVE-ID: CVE-2010-0532

    Beschikbaar voor: Windows 7, Vista, XP

    Impact: een lokale gebruiker kan mogelijk systeembevoegdheden verkrijgen tijdens de installatie van iTunes

    Beschrijving: er doet zich een probleem met geëscaleerde bevoegdheden voor in het installatiepakket van iTunes voor Windows. Tijdens het installatieproces zorgt een raceconditie mogelijk ervoor dat een lokale gebruiker een bestand kan wijzigen dat dan wordt uitgevoerd met systeembevoegdheden. Het probleem wordt verholpen door verbeterde toegangscontroles voor installatiebestanden. Dit probleem geldt niet voor Mac OS X-systemen. Met dank aan Jason Geffner van NGSSoftware voor het melden van dit probleem.

  •  

    iTunes

    CVE-ID: CVE-2010-1768

    Beschikbaar voor: Mac OS X v10.4.11 of hoger, Mac OS X Server v10.4.11 of hoger

    Impact: door een mobiel apparaat te synchroniseren kan een lokale gebruiker verhoogde bevoegdheden verkrijgen

    Beschrijving: bij de verwerking van logbestanden voor mobiele apparaten treedt een onveilige bestandsbewerking op. Door een iPhone, iPad of iPod touch te synchroniseren kan een lokale gebruiker de bevoegdheden van de consolegebruiker verkrijgen. Dit probleem wordt verholpen door een verbeterde verwerking van logbestanden. Met dank aan Jon Passki en Nicolas Seriot van HEIG-VD voor het melden van dit probleem.

  •  

    iTunes

    CVE-ID: CVE-2010-1795

    Beschikbaar voor: Windows 7, Vista, XP

    Impact: een bestand openen in een kwaadwillig vervaardigde directory kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er treedt een probleem met het zoeken naar het pad op in iTunes. iTunes zoekt naar een specifieke DLL in de huidige actieve directory. Als iemand een kwaadwillig vervaardigd bestand met een specifieke naam plaatst in een directory, kan het openen van een ander bestand in die directory in iTunes leiden tot het uitvoeren van willekeurige code. Dit probleem wordt verholpen door de code te verwijderen die de DLL gebruikt. Dit probleem geldt niet voor Mac OS X-systemen. Met dank aan Simon Raner van ACROS Security voor het melden van dit probleem.

 

Publicatiedatum: