Zawartość związana z zabezpieczeniami w aplikacji iTunes 10.2

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w aplikacji iTunes 10.2.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń Apple.

iTunes 10.2

• ImageIO

  Dostępne dla: systemów Windows 7, Vista, XP SP2 lub nowszych

  Zagrożenie: wykryto kilka luk w zabezpieczeniach biblioteki libpng.

  Opis: biblioteka libpng została uaktualniona do wersji 1.4.3 w celu usunięcia kilku luk w zabezpieczeniach, z których najpoważniejsza może doprowadzić do wykonania dowolnego kodu. W przypadku komputerów z systemem Mac OS X 10.5 ten problem rozwiązano w uaktualnieniu zabezpieczeń 2010-007. Dalsze informacje są dostępne w witrynie biblioteki libpng pod adresem http://www.libpng.org/pub/png/libpng.html

  Identyfikator CVE

  CVE-2010-1205

  CVE-2010-2249

• ImageIO

  Dostępne dla: systemów Windows 7, Vista, XP SP2 lub nowszych

  Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu JPEG może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

  Opis: w procedurze obsługi obrazów JPEG przez bibliotekę ImageIO występowało przepełnienie buforu sterty. Wyświetlenie złośliwie spreparowanego obrazu JPEG może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

  Identyfikator CVE

  CVE-2011-0170 : Andrzej Dyjak we współpracy z iDefense VCP

• ImageIO

  Dostępne dla: systemów Windows 7, Vista, XP SP2 lub nowszych

  Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu XBM może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

  Opis: w procedurze obsługi obrazów XBM przez bibliotekę ImageIO występowało przepełnienie całkowitoliczbowe. Wyświetlenie złośliwie spreparowanego obrazu XBM może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

  Identyfikator CVE

  CVE-2011-0181: Harry Sintonen

• ImageIO

  Dostępne dla: systemów Windows 7, Vista, XP SP2 lub nowszych

  Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu TIFF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

  Opis: w procedurze obsługi obrazów TIFF z kodowaniem JPEG przez bibliotekę libTIFF występowało przepełnienie buforu. Wyświetlenie złośliwie spreparowanego obrazu TIFF może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

  Identyfikator CVE

  CVE-2011-0191: Apple

• ImageIO

  Dostępne dla: systemów Windows 7, Vista, XP SP2 lub nowszych

  Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu TIFF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

  Opis: w procedurze obsługi obrazów TIFF z kodowaniem CCITT Group 4 przez bibliotekę libTIFF występowało przepełnienie buforu. Wyświetlenie złośliwie spreparowanego obrazu TIFF może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

  Identyfikator CVE

  CVE-2011-0192: Apple

• libxml

  Dostępne dla: systemów Windows 7, Vista, XP SP2 lub nowszych

  Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

  Opis: w procedurze obsługi wyrażeń XPath przez bibliotekę libxml występował błąd dwukrotnego zwolnienia pamięci. Przetworzenie złośliwie spreparowanego pliku XML może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

  Identyfikator CVE

  CVE-2010-4494 : Yang Dingning z NCNIPC, Graduate University of Chinese Academy of Sciences

• libxml

  Dostępne dla: systemów Windows 7, Vista, XP SP2 lub nowszych

  Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

  Opis: w procedurze obsługi języka XPath przez bibliotekę libxml występował błąd powodujący uszkodzenie zawartości pamięci. Przetworzenie złośliwie spreparowanego pliku XML może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

  Identyfikator CVE

  CVE-2010-4008 : Bui Quang Minh z Bkis (www.bkis.com)

• WebKit

  Dostępne dla: systemów Windows 7, Vista, XP SP2 lub nowszych

  Zagrożenie: atak metodą „man-in-the-middle” może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

  Opis: w oprogramowaniu WebKit występuje kilka błędów powodujących uszkodzenie zawartości pamięci. Osoba atakująca metodą „man-in-the-middle” w czasie, gdy użytkownik przegląda sklep iTunes Store za pośrednictwem aplikacji iTunes, może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

  Identyfikator CVE

  CVE-2010-1824: kuzzcc i wushi z team509 w ramach programu Zero Day Initiative TippingPoint

  CVE-2011-0111: Sergey Glazunov

  CVE-2011-0112: Yuzo Fujishima z Google Inc.

  CVE-2011-0113: Andreas Kling z Nokia

  CVE-2011-0114: Chris Evans z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

  CVE-2011-0115: J23 w ramach programu Zero Day Initiative firmy TippingPoint oraz Emil A Eklund z Google, Inc.

  CVE-2011-0116: anonimowy badacz w ramach programu Zero Day Initiative TippingPoint

  CVE-2011-0117: Abhishek Arya (Inferno) z Google, Inc.

  CVE-2011-0118: Abhishek Arya (Inferno) z Google, Inc.

  CVE-2011-0119: Abhishek Arya (Inferno) z Google, Inc.

  CVE-2011-0120: Abhishek Arya (Inferno) z Google, Inc.

  CVE-2011-0121: Abhishek Arya (Inferno) z Google, Inc.

  CVE-2011-0122: Sławomir Blazek

  CVE-2011-0123: Abhishek Arya (Inferno) z Google, Inc.

  CVE-2011-0124: Yuzo Fujishima z Google Inc.

  CVE-2011-0125: Abhishek Arya (Inferno) z Google, Inc.

  CVE-2011-0126: Mihai Parparita z Google, Inc.

  CVE-2011-0127: Abhishek Arya (Inferno) z Google, Inc.

  CVE-2011-0128: David Bloom

  CVE-2011-0129: Famlam

  CVE-2011-0130: Apple

  CVE-2011-0131: wushi z team509

  CVE-2011-0132: wushi z team509 w ramach programu Zero Day Initiative firmy TippingPoint

  CVE-2011-0133 : wushi z team509 w ramach programu Zero Day Initiative firmy TippingPoint

  CVE-2011-0134: Jan Tosovsky

  CVE-2011-0135: anonimowy zgłaszający

  CVE-2011-0136: Sergey Glazunov

  CVE-2011-0137: Sergey Glazunov

  CVE-2011-0138: kuzzcc

  CVE-2011-0139: kuzzcc

  CVE-2011-0140: Sergey Glazunov

  CVE-2011-0141: Chris Rohlf z Matasano Security

  CVE-2011-0142 : Abhishek Arya (Inferno) of Google, Inc.

  CVE-2011-0143 : Slawomir Blazek and Sergey Glazunov

  CVE-2011-0144 : Emil A Eklund of Google, Inc.

  CVE-2011-0145 : Abhishek Arya (Inferno) of Google, Inc.

  CVE-2011-0146 : Abhishek Arya (Inferno) of Google, Inc.

  CVE-2011-0147 : Dirk Schulze

  CVE-2011-0148 : Michal Zalewski of Google, Inc.

  CVE-2011-0149: wushi z team509 w ramach programu Zero Day Initiative firmy TippingPoint oraz SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

  CVE-2011-0150: Michael Gundlach z safariadblock.com

  CVE-2011-0151: Abhishek Arya (Inferno) z Google, Inc.

  CVE-2011-0152: SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

  CVE-2011-0153: Abhishek Arya (Inferno) z Google, Inc.

  CVE-2011-0154: anonimowy badacz w ramach programu Zero Day Initiative firmy TippingPoint

  CVE-2011-0155: Aki Helin z OUSPG

  CVE-2011-0156: Abhishek Arya (Inferno) z Google, Inc.

  CVE-2011-0165: Sergey Glazunov

  CVE-2011-0168: Sergey Glazunov