Om sikkerhetsinnholdet i iTunes 9.1

Dette dokumentet beskriver sikkerhetsinnholdet i iTunes 9.1.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.

Hvis du vil ha mer informasjon om PGP-nøkkelen for Apple-produktsikkerhet, kan du lese «Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet

Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.

Mer informasjon om andre sikkerhetsoppdateringer finnes her: Apple sikkerhetsoppdateringer.

iTunes 9,1

  • ColorSync

    CVE-ID: CVE-2010-0040

    Tilgjengelig for: Windows 7, Vista, XP

    Virkning: Åpning av et skadelig bilde med innebygd fargeprofil kan føre til at et program avsluttes uventet eller utføring av vilkårlig kode

    Beskrivelse: Det foreligger heltallsoverflyt som kan føre til bufferoverflyt i håndteringen av bilder med innebygd fargeprofil. Åpning av et skadelig bilde med innebygd fargeprofil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Problemet løses gjennom ekstra kontroll av fargeprofiler. Problemet berører ikke Mac OS X-systemer. Takk til Sebastien Renaud hos VUPEN Vulnerability Research Team for rapportering av dette problemet.

  • ImageIO

    CVE-ID: CVE-2009-2285

    Tilgjengelig for: Windows 7, Vista, XP

    Virkning: Visning av et skadelig TIFF-bilde kan føre til at et program uventet avsluttes eller utføring av vilkårlig kode

    Beskrivelse: Det foreligger bufferunderflyt i ImageIOs håndtering av TIFF-bilder. Visning av et skadelig TIFF-bilde kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode. Dette problemet løses gjennom forbedret grensekontroll. For Mac OS X v10.6-systemer er dette problemet løst i Mac OS X v10.6.2. For Mac OS X v10.5-systemer løses dette problemet i Sikkerhetsoppdatering 2010-001.

  • ImageIO

    CVE-ID: CVE-2010-0041

    Tilgjengelig for: Windows 7, Vista, XP

    Virkning: Besøk på et skadelig nettsted kan føre til sending av data fra Safaris minne til nettstedet

    Beskrivelse: Det er et problem med uinitialisert minnetilgang i ImageIOs håndtering av BMP-bilder. Besøk på et skadelig nettsted kan føre til sending av data fra Safaris minne til nettstedet. Dette problemet løses gjennom forbedret minnehåndtering og ekstra validering av BMP-bilder. For Mac OS X v10.6-systemer er dette problemet løst i Mac OS X v10.6.4. For Mac OS X v10.5-systemer løses dette problemet i Sikkerhetsoppdatering 2010-002. Takk til Matthew 'j00ru' Jurczyk hos Hispasec for rapportering av dette problemet.

  • ImageIO

    CVE-ID: CVE-2010-0042

    Tilgjengelig for: Windows 7, Vista, XP

    Virkning: Besøk på et skadelig nettsted kan føre til sending av data fra Safaris minne til nettstedet

    Beskrivelse: Det er et problem med uinitialisert minnetilgang i ImageIOs håndtering av TIFF-bilder. Besøk på et skadelig nettsted kan føre til sending av data fra Safaris minne til nettstedet. Dette problemet løses gjennom forbedret minnehåndtering og ekstra validering av TIFF-bilder. For Mac OS X v10.6-systemer er dette problemet løst i Mac OS X v10.6.4. For Mac OS X v10.5-systemer løses dette problemet i Sikkerhetsoppdatering 2010-002. Takk til Matthew 'j00ru' Jurczyk hos Hispasec for rapportering av dette problemet.

  • ImageIO

    CVE-ID: CVE-2010-0043

    Tilgjengelig for: Windows 7, Vista, XP

    Virkning: Behandling av et skadelig TIFF-bilde kan føre til at et program uventet avsluttes eller utføring av vilkårlig kode

    Beskrivelse: Det er et problem med skadet minne i håndteringen av TIFF-bilder. Behandling av et skadelig TIFF-bilde kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Problemet er løst gjennom forbedret minnehåndtering. For Mac OS X v 10.6-systemer, er dette problemet løst i Mac OS X v10.6.3. Dette problemet påvirker ikke systemer før Mac OS X v 10.6. Takk til Gus Mueller hos Flying Meat for rapportering av dette problemet.

  • iTunes

    CVE-ID: CVE-2010-0531

    Tilgjengelig for Mac OS X v10.4.11 eller nyere, Mac OS X Server v10.4.11 eller nyere, Windows Vista, XP

    Virkning: Import av en skadelig MP4-fil kan føre til tjenestenekt

    Beskrivelse: Et uendelig sløyfeproblem eksisterer i behandlingen av MP4-filer. En skadelig podcast kan forårsake en uendelig sløyfe i iTunes, og hindre drift selv etter at det er startet på nytt. Problemet løses ved forbedret godkjenning av MP4-filer. akk til Sojeong Hong hos Sourcefire VRT for rapportering av dette problemet.

  • iTunes

    CVE-ID: CVE-2010-0532

    Tilgjengelig for: Windows 7, Vista, XP

    Virkning: En lokal bruker kan oppnå systemrettigheter i løpet av iTunes-installasjonen

    Beskrivelse: Et problem med eskalerte rettigheter eksisterer i iTunes for Windows-installasjonspakken. I løpet av installasjonsprosessen, kan en løpsbetingelse la en lokal bruker endre en fil som deretter utføres med systemprivileger. Problemet løses gjennom forbedrede tilgangskontroller for installasjonsfiler. Problemet berører ikke Mac OS X-systemer. Takk til Jason Geffner hos NGSSoftware for rapportering av dette problemet.

  • iTunes

    CVE-ID: CVE-2010-1768

    Tilgjengelig for: Mac OS X v10.4.11 eller nyere, Mac OS X Server v10.4.11 eller nyere

    Virkning: Synkronisering av en mobil enhet kan føre til at en lokal bruker oppnår utvidede rettigheter

    Beskrivelse: En usikret filoperasjon eksisterer i håndteringen av loggfiler for mobile enheter. Synkronisering av en iPhone, iPad eller iPod touch kan føre til at en lokal bruker oppnår rettighetene til konsollbrukeren. Problemet løses ved forbedret godkjenning av loggfiler. Takk til Jon Passki og Nicolas Seriot hos HEIG-VD for rapportering av dette problemet.

  • iTunes

    CVE-ID: CVE-2010-1795

    Tilgjengelig for: Windows 7, Vista, XP

    Virkning: Åpning av en fil i en skadelig forberedt katalog kan føre til at vilkårlig kode kjøres

    Beskrivelse: Det finnes et banesøkingsproblem i iTunes. iTunes søker etter en bestemt DLL i den nåværende arbeidskatalogen. Hvis noen plasserer en skadelig fil med et bestemt navn i en katalog, kan åpning av en annen fil i den katalogen i iTunes føre til at vilkårlig kode utføres. Dette problemet løses ved å fjerne koden som bruker DLL-en. Problemet berører ikke Mac OS X-systemer. Takk til Simon Raner hos ACROS Security for rapportering av dette problemet.

Viktig: Informasjon om produkter som ikke er produsert av Apple, oppgis kun for informasjonsformål og utgjør ikke noen godkjenning eller anbefaling fra Apple. Du kan kontakte leverandøren for å få mer informasjon.

Publiseringsdato: