Zawartość związana z zabezpieczeniami w aplikacji iTunes 9.2
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w aplikacji iTunes 9.2.
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń dla bezpieczeństwa przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, które ułatwiają uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
iTunes 9.2
ColorSync
CVE-ID: CVE-2009-1726
Dostępne: systemów Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: wyświetlanie specjalnie spreparowanego obrazu z osadzonym profilem ColorSync może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze obsługi obrazów z osadzonym profilem ColorSync występuje przepełnienie buforu sterty. Otwarcie złośliwie spreparowanego obrazu z osadzonym profilem ColorSync może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności profili ColorSync. Problem zgłosili Chris Evans z Google Security Team i Andrzej Dyjak.
ColorSync
CVE-ID: CVE-2010-1411
Dostępne: systemów Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: otwarcie złośliwie spreparowanego pliku TIFF może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: przepełnienie całkowitoliczbowe w obsłudze plików TIFF może spowodować przepełnienie bufora sterty. Otwarcie złośliwie spreparowanego pliku TIFF może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Błędy naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń. Problemy zgłosił Kevin Finisterre z digitalmunition.com.
WebKit
Identyfikator CVE: CVE-2010-0544, CVE-2010-1119, CVE-2010-1387, CVE-2010-1390, CVE-2010-1392, CVE-2010-1393, CVE-2010-1395, CVE-2010-1396, CVE-2010-1397, CVE-2010-1398, CVE-2010-1399, CVE-2010-1400, CVE-2010-1401, CVE-2010-1402, CVE-2010-1403, CVE-2010-1404, CVE-2010-1405, CVE-2010-1408, CVE-2010-1409, CVE-2010-1410, CVE-2010-1412, CVE-2010-1414, CVE-2010-1415, CVE-2010-1416, CVE-2010-1417, CVE-2010-1418, CVE-2010-1419, CVE-2010-1421, CVE-2010-1422, CVE-2010-1749, CVE-2010-1758, CVE-2010-1759, CVE-2010-1761, CVE-2010-1763, CVE-2010-1769, CVE-2010-1770, CVE-2010-1771, CVE-2010-1774
Dostępne dla: systemów Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: szereg luk w zabezpieczeniach oprogramowania WebKit.
Opis: oprogramowanie WebKit uaktualniono do wersji zawartej w przeglądarkach Safari 5.0 i Safari 4.1 w celu usunięcia kilku luk w zabezpieczeniach, z których najpoważniejsza może prowadzić do wykonania dowolnego kodu. Dalsze informacje są dostępne tutaj.
Ważne: wzmianka o witrynach internetowych i produktach osób trzecich ma charakter wyłącznie informacyjny i nie stanowi rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności w związku z wyborem, działaniem lub korzystaniem z informacji lub produktów znalezionych w witrynach internetowych osób trzecich. Apple podaje je tylko jako udogodnienie dla naszych użytkowników. Firma Apple nie przetestowała informacji znalezionych w tych witrynach i nie składa żadnych oświadczeń dotyczących ich dokładności lub wiarygodności. Korzystanie z jakichkolwiek informacji lub produktów znalezionych w Internecie wiąże się z ryzykiem, a Apple nie ponosi żadnej odpowiedzialności w tym zakresie. Należy pamiętać, że witryna osoby trzeciej jest niezależna od Apple i że Apple nie ma kontroli nad zawartością tej witryny. Dodatkowe informacje można uzyskać, kontaktując się z dostawcą.