Over de beveiligingsinhoud van iTunes 9.1
In dit document wordt de beveiligingsinhoud van iTunes 9.1 beschreven.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.
Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Zie Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.
iTunes 9.1
ColorSync
CVE-ID: CVE-2010-0040
Beschikbaar voor: Windows 7, Vista, XP
Impact: het bekijken van een kwaadwillig vervaardigde afbeelding met een ingebed kleurprofiel kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er bestaat een overloop van hele getallen bij de verwerking van afbeeldingen met een ingebed kleurprofiel, die zou kunnen leiden tot een heapbufferoverloop. Het openen van een kwaadwillig vervaardigde afbeelding met een ingebed kleurprofiel kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door aanvullende validatie van kleurprofielen uit te voeren. Dit probleem is niet van invloed op systemen met Mac OS X. Met dank aan Sebastien Renaud van VUPEN Vulnerability Research Team voor het melden van dit probleem.
ImageIO
CVE-ID: CVE-2009-2285
Beschikbaar voor: Windows 7, Vista, XP
Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er is sprake van een bufferonderloop bij de verwerking van TIFF-afbeeldingen door ImageIO. Het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde bereikcontrole. Voor systemen met Mac OS X v10.6 wordt dit probleem verholpen in Mac OS X v10.6.2. Voor systemen met Mac OS X v10.5 wordt dit probleem verholpen in beveiligingsupdate 2010-001.
ImageIO
CVE-ID: CVE-2010-0041
Beschikbaar voor: Windows 7, Vista, XP
Impact: het bezoeken van een kwaadwillig vervaardigde website kan ervoor zorgen dat gegevens vanuit het geheugen van Safari naar de website verstuurd worden
Beschrijving: er bestaat een probleem met niet-geïnitialiseerde geheugentoegang bij de verwerking van BMP-afbeeldingen door ImageIO. Het bezoeken van een kwaadwillig vervaardigde website kan ervoor zorgen dat gegevens vanuit het geheugen van Safari naar de website verstuurd worden. Dit probleem wordt verholpen door verbeterde verwerking van het geheugen en aanvullende validatie van BMP-afbeeldingen. Voor systemen met Mac OS X v10.6 wordt dit probleem verholpen in Mac OS X v10.6.3. Voor systemen met Mac OS X v10.5 wordt dit probleem verholpen in beveiligingsupdate 2010-002. Met dank aan Matthew 'j00ru' Jurczyk van Hispasec voor het melden van dit probleem.
ImageIO
CVE-ID: CVE-2010-0042
Beschikbaar voor: Windows 7, Vista, XP
Impact: het bezoeken van een kwaadwillig vervaardigde website kan ervoor zorgen dat gegevens vanuit het geheugen van Safari naar de website verstuurd worden
Beschrijving: er bestaat een probleem met niet-geïnitialiseerde geheugentoegang bij de verwerking van TIFF-afbeeldingen door ImageIO. Het bezoeken van een kwaadwillig vervaardigde website kan ervoor zorgen dat gegevens vanuit het geheugen van Safari naar de website verstuurd worden. Dit probleem wordt verholpen door verbeterde verwerking van het geheugen en aanvullende validatie van TIFF-afbeeldingen. Voor systemen met Mac OS X v10.6 wordt dit probleem verholpen in Mac OS X v10.6.3. Voor systemen met Mac OS X v10.5 wordt dit probleem verholpen in beveiligingsupdate 2010-002. Met dank aan Matthew 'j00ru' Jurczyk van Hispasec voor het melden van dit probleem.
ImageIO
CVE-ID: CVE-2010-0043
Beschikbaar voor: Windows 7, Vista, XP
Impact: het verwerken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er is een probleem met geheugenbeschadiging bij de verwerking van TIFF-afbeeldingen. Het verwerken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde verwerking van het geheugen. Voor systemen met Mac OS X v10.6 wordt dit probleem verholpen in Mac OS X v10.6.3. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.6. Met dank aan Gus Mueller van Flying Meat voor het melden van dit probleem.
iTunes
CVE-ID: CVE-2010-0531
Available for: Mac OS X v10.4.11 of nieuwer, Mac OS X Server v10.4.11 of nieuwer, Windows 7, Vista, XP
Impact: het importeren van een kwaadwillig vervaardigd MP4-bestand kan leiden tot een denial-of-service
Beschrijving: er bestaat een probleem met een oneindige lus in de verwerking van MP4-bestanden. Een kwaadwillig vervaardigde podcast kan een oneindige lus veroorzaken in iTunes, waardoor het programma zelfs als het opnieuw geopend wordt niet meer werkt. Dit probleem wordt verholpen door verbeterde validatie van MP4-bestanden. Met dank aan Sojeong Hong van Sourcefire VRT voor het melden van dit probleem.
iTunes
CVE-ID: CVE-2010-0532
Beschikbaar voor: Windows 7, Vista, XP
Impact: een lokale gebruiker kan systeembevoegdheden krijgen tijdens het installeren van iTunes
Beschrijving: er bestaat een probleem met het verhogen van bevoegdheden in het installatiepakket van iTunes voor Windows. Tijdens het installatieproces kan een lokale gebruiker in zeldzame gevallen een bestand aanpassen dat vervolgens uitgevoerd wordt met systeembevoegdheden. Dit probleem wordt verholpen door verbeterde toegangscontrole voor installatiebestanden. Dit probleem is niet van invloed op systemen met Mac OS X. Met dank aan Jason Geffner van NGSSoftware voor het melden van dit probleem.
iTunes
CVE-ID: CVE-2010-1768
Beschikbaar voor: Mac OS X v10.4.11 of nieuwer, Mac OS X Server v10.4.11 of nieuwer
Impact: door het synchroniseren van een mobiel apparaat kan een lokale gebruiker meer bevoegdheden krijgen
Beschrijving: er bestaat een onveilige bestandsbewerking in de verwerking van logbestanden voor mobiele apparaten. Door een iPhone, iPad of iPod touch te synchroniseren, kan een lokale gebruiker de bevoegdheden krijgen van de consolegebruiker. Dit probleem wordt verholpen door verbeterde verwerking van logbestanden. Met dank aan Jon Passki, en Nicolas Seriot van HEIG-VD voor het melden van dit probleem.
iTunes
CVE-ID: CVE-2010-1795
Beschikbaar voor: Windows 7, Vista, XP
Impact: het openen van een bestand in een kwaadwillig vervaardigde map kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er bestaat een probleem met het zoeken naar paden in iTunes. iTunes zoekt naar een specifieke DLL in de huidige werkmap. Als iemand een kwaadwillig vervaardigd bestand met een specifieke naam in een map plaatst, kan het openen van een ander bestand in die map in iTunes leiden tot het uitvoeren van willekeurige code. Dit probleem wordt verholpen door de code te verwijderen die de DLL gebruikt. Dit probleem is niet van invloed op systemen met Mac OS X. Met dank aan Simon Raner van ACROS Security voor het melden van dit probleem.
Belangrijk: Informatie over producten die niet door Apple zijn geproduceerd, wordt alleen ter informatie verstrekt en vormt geen aanbeveling of goedkeuring van Apple. Neem voor meer informatie contact op met de leverancier.