Sobre o conteúdo de segurança do iTunes 9.1

Este documento descreve o conteúdo de segurança do iTunes 9.1.

Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário tenha mais informações.

Para saber mais sobre outras Atualizações de Segurança, consulte "Atualizações de Segurança da Apple".

iTunes 9.1

  • ColorSync

    CVE-ID: CVE-2010-0040

    Disponível para: Windows 7, Vista, XP

    Impacto: ver uma imagem criada com códigos maliciosos com um perfil de cores integrado pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: existe um estouro de inteiro, que pode resultar em um estouro de buffer de pilha, no processamento de imagens com um perfil de cores incorporado. Abrir uma imagem criada com códigos maliciosos com um perfil de cores integrado pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos. O problema foi resolvido por meio da validação adicional de perfis de cores. Esse problema não afeta sistemas Mac OS X. Agradecemos a Sebastien Renaud, da equipe de pesquisa de vulnerabilidades da VUPEN, por comunicar esse problema.

  • ImageIO

    CVE-ID: CVE-2009-2285

    Disponível para: Windows 7, Vista, XP

    Impacto: a visualização de uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: ocorre um estouro de buffer no processamento de imagens TIFF pelo ImageIO. A visualização de uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias na verificação de limites. No caso de sistemas Mac OS X 10.6, esse problema foi resolvido no Mac OS X 10.6.2. No caso de sistemas Mac OS X 10.5, foi resolvido na Atualização de Segurança 2010-001.

  • ImageIO

    CVE-ID: CVE-2010-0041

    Disponível para: Windows 7, Vista, XP

    Impacto: acessar um site criado com códigos maliciosos pode resultar no envio de dados da memória do Safari para o site

    Descrição: existe um problema de acesso à memória não inicializada no processamento de imagens BMP pelo ImageIO. Acessar um site criado com códigos maliciosos pode resultar no envio de dados da memória do Safari para o site. Esse problema foi resolvido por meio de melhorias no processamento de memória e na validação adicional de imagens BMP. No caso de sistemas Mac OS X 10.6, esse problema foi resolvido no Mac OS X 10.6.3. No caso de sistemas Mac OS X 10.5, foi resolvido na Atualização de Segurança 2010-002. Agradecemos a Matthew 'j00ru' Jurczyk da Hispasec por comunicar esse problema.

  • ImageIO

    CVE-ID: CVE-2010-0042

    Disponível para: Windows 7, Vista, XP

    Impacto: acessar um site criado com códigos maliciosos pode resultar no envio de dados da memória do Safari para o site

    Descrição: existe um problema de acesso à memória não inicializada no processamento de imagens TIFF pelo ImageIO. Acessar um site criado com códigos maliciosos pode resultar no envio de dados da memória do Safari para o site. Esse problema foi resolvido por meio de melhorias no processamento de memória e na validação adicional de imagens BMP. No caso de sistemas Mac OS X 10.6, esse problema foi resolvido no Mac OS X 10.6.3. No caso de sistemas Mac OS X 10.5, foi resolvido na Atualização de Segurança 2010-002. Agradecemos a Matthew 'j00ru' Jurczyk da Hispasec por comunicar esse problema.

  • ImageIO

    CVE-ID: CVE-2010-0043

    Disponível para: Windows 7, Vista, XP

    Impacto: processar uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: existe um problema de memória corrompida no processamento de imagens TIFF. Processar uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias no processamento da memória. No caso de sistemas Mac OS X 10.6, esse problema foi resolvido no Mac OS X 10.6.3. Esse problema não afeta sistemas anteriores ao Mac OS X 10.6. Agradecemos a Gus Mueller, da Flying Meat, por comunicar esse problema.

  • iTunes

    CVE-ID: CVE-2010-0531

    Disponível para: Mac OS X 10.4.11 ou posterior, Mac OS X Server 10.4.11 ou posterior, Windows 7, Vista, XP

    Impacto: importar um arquivo MP4 criado com códigos maliciosos pode levar à negação de serviço

    Descrição: existe um problema de loop infinito no processamento de arquivos MP4. Um podcast criado com códigos maliciosos pode causar um loop infinito no iTunes e impedir sua operação mesmo depois de ser reiniciado. Esse problema foi corrigido por meio de melhorias na validação de arquivos MP4. Agradecemos a Sojeong Hong, da Sourcefire VRT, por comunicar esse problema.

  • iTunes

    CVE-ID: CVE-2010-0532

    Disponível para: Windows 7, Vista, XP

    Impacto: um usuário local pode obter privilégios de sistema durante a instalação do iTunes

    Descrição: existe um problema de escalonamento de privilégios no pacote de instalação do iTunes para Windows. Durante o processo de instalação, uma condição de corrida pode permitir que um usuário local modifique um arquivo que é então executado com privilégios de sistema. O problema foi resolvido por meio de melhorias nos controles de acesso dos arquivos de instalação. Esse problema não afeta sistemas Mac OS X. Agradecemos a Jason Geffner, da NGSSoftware, por comunicar esse problema.

  • iTunes

    CVE-ID: CVE-2010-1768

    Disponível para: Mac OS X 10.4.11 ou posterior, Mac OS X Server 10.4.11 ou posterior

    Impacto: sincronizar um dispositivo móvel pode permitir que um usuário local obtenha privilégios elevados

    Descrição: existe uma operação de arquivo insegura no processamento de arquivos de registro para dispositivos móveis. Sincronizar um iPhone, iPad ou iPod touch pode permitir que um usuário local obtenha os privilégios do usuário do console. Esse problema foi resolvido por meio de melhorias no processamento de arquivos de registro. Agradecemos a Jon Passki e Nicolas Seriot, da HEIG-VD, por comunicar esse problema.

  • iTunes

    CVE-ID: CVE-2010-1795

    Disponível para: Windows 7, Vista, XP

    Impacto: abrir um arquivo em um diretório preparado com códigos maliciosos pode levar à execução arbitrária de códigos

    Descrição: existe um problema de pesquisa de caminho no iTunes. O iTunes vai procurar uma DLL específica no diretório de trabalho atual. Se alguém colocar um arquivo criado com códigos maliciosos com um nome específico em um diretório, abrir outro arquivo nesse diretório no iTunes poderá levar à execução arbitrária de códigos. Esse problema foi resolvido por meio da remoção do código que usa a DLL. Esse problema não afeta sistemas Mac OS X. Agradecemos a Simon Raner da ACROS Security por relatar esse problema.

Importante: as informações sobre produtos de outros fabricantes são apenas para fins informativos e não constituem nenhum tipo de aval ou recomendação da Apple. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: