Sobre o conteúdo de segurança do iTunes 9.1

Este documento descreve o conteúdo de segurança do iTunes 9.1.

Para garantir a proteção de seus clientes, a Apple não divulga, discute ou confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a segurança dos produtos Apple, consulte o site Segurança do produto Apple.

Para obter informações sobre a chave de segurança PGP dos produtos Apple, consulte Como usar a chave de segurança PGP do produto Apple.

Sempre que possível, serão usadas IDs de CVE para indicar as vulnerabilidades e permitir que o usuário obtenha informações mais detalhadas.

Para saber mais sobre outras atualizações de segurança, consulte "Atualizações de segurança da Apple".

iTunes 9.1

  • ColorSync

    ID de CVE: CVE-2010-0040

    Disponível para: Windows 7, Vista, XP

    Impacto: A visualização de uma imagem criada com códigos maliciosos com um perfil de cores incorporado pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Ocorre um estouro de inteiros que pode resultar em um estouro de buffer de pilha durante o processamento de imagens com um perfil de cor incorporado. Abrir uma imagem criada com códigos maliciosos com um perfil de cores incorporado pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de uma validação adicional dos perfis de cores. Este problema não afeta sistemas Mac OS X. Agradecemos a Sebastien Renaud da Equipe de Pesquisas de Vulnerabilidades da VUPEN por comunicar esse problema.

  • ImageIO

    ID de CVE: CVE-2009-2285

    Disponível para: Windows 7, Vista, XP

    Impacto: A visualização de uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Ocorre um estouro de buffer durante o processamento de imagens TIFF pelo ImageIO. A visualização de uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias na verificação de limites. Nos sistemas Mac OS X 10.6, esse problema foi solucionado no Mac OS X 10.6.2. Nos sistemas Mac OS X 10.5, esse problema foi solucionado na Atualização de Segurança 2010-001.

  • ImageIO

    ID de CVE: CVE-2010-0041

    Disponível para: Windows 7, Vista, XP

    Impacto: Acessar um site criado com códigos maliciosos pode resultar no envio de dados da memória do Safari para esse site

    Descrição: Ocorre um problema de acesso à memória não inicializada durante o processamento de imagens BMP pelo ImageIO. Acessar um site criado com códigos maliciosos pode resultar no envio de dados da memória do Safari para esse site. O problema foi solucionado através de melhorias no processamento de memória e validação adicional das imagens BMP. Nos sistemas Mac OS X 10.6, este problema foi solucionado no Mac OS X 10.6.3. Nos sistemas Mac OS X 10.5, esse problema foi solucionado na Atualização de Segurança 2010-002. Agradecemos a Matthew "j00ru" Jurczyk da Hispasec por comunicar esse problema.

  • ImageIO

    ID de CVE: CVE-2010-0042

    Disponível para: Windows 7, Vista, XP

    Impacto: Acessar um site criado com códigos maliciosos pode resultar no envio de dados da memória do Safari para esse site

    Descrição: Ocorre um problema de acesso à memória não inicializada durante o processamento de imagens TIFF pelo ImageIO. Acessar um site criado com códigos maliciosos pode resultar no envio de dados da memória do Safari para esse site. O problema foi solucionado através de melhorias no processamento de memória e validação adicional de imagens TIFF. Nos sistemas Mac OS X 10.6, este problema foi solucionado no Mac OS X 10.6.3. Nos sistemas Mac OS X 10.5, esse problema foi solucionado na Atualização de Segurança 2010-002. Agradecemos a Matthew "j00ru" Jurczyk da Hispasec por comunicar esse problema.

  • ImageIO

    ID de CVE: CVE-2010-0043

    Disponível para: Windows 7, Vista, XP

    Impacto: O processamento de uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Ocorre uma corrupção de memória durante o processamento de imagens TIFF. O processamento de uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias no processamento da memória. Nos sistemas Mac OS X 10.6, esse problema foi solucionado no Mac OS X 10.6.3. Esse problema não afeta sistemas anteriores ao Mac OS X 10.6. Agradecemos a Gus Mueller da Flying Meat por comunicar esse problema.

  • iTunes

    ID de CVE: CVE-2010-0531

    Disponível para: Mac OS X versão 10.4.11 ou posterior, Mac OS X Server versão 10.4.11 ou posterior, Windows 7, Vista, XP

    Impacto: A importação de um arquivo MP4 criado com códigos maliciosos pode causar a negação de serviço

    Descrição: Ocorre um problema de loop infinito durante o processamento de arquivos MP4. Um podcast criado com códigos maliciosos pode causar um loop infinito no iTunes e impedir sua operação mesmo depois que o programa é fechado e reaberto. Esse problema foi solucionado através de melhorias na validação de arquivos MP4. Agradecemos a Sojeong Hong da Sourcefire VRT por comunicar esse problema.

  • iTunes

    ID de CVE: CVE-2010-0532

    Disponível para: Windows 7, Vista, XP

    Impacto: Um usuário local pode obter privilégios de sistema durante a instalação do iTunes

    Descrição: Há um problema de escalação de privilégios no pacote de instalação do iTunes para Windows. Durante o processo de instalação, uma condição de corrida pode permitir que um usuário local modifique um arquivo, que é executado em seguida com privilégios do sistema. O problema foi solucionado através de melhorias nos controles de acesso de arquivos de instalação. Este problema não afeta sistemas Mac OS X. Agradecemos a Jason Geffner da NGSSoftware por comunicar esse problema.

  •  

    iTunes

    ID de CVE: CVE-2010-1768

    Disponível para: Mac OS X 10.4.11 ou posterior, Mac OS X Server 10.4.11 ou posterior

    Impacto: Sincronizar um dispositivo móvel pode permitir que um usuário local obtenha privilégios elevados

    Descrição: Ocorre uma operação de arquivo não segura durante o processamento de arquivos de registro de dispositivos móveis. Sincronizar um iPhone, iPad ou iPod touch pode permitir que um usuário local obtenha privilégios elevados do usuário do console. Esse problema foi solucionado por meio de melhorias no processamento de arquivos de registro. Agradecemos a Jon Passki e Nicolas Seriot da HEIG-VD por comunicarem esse problema.

  •  

    iTunes

    ID de CVE: CVE-2010-1795

    Disponível para: Windows 7, Vista, XP

    Impacto: Abrir um arquivo em um diretório criado com códigos maliciosos pode resultar na execução arbitrária de códigos

    Descrição: Ocorre um problema com a busca de caminho no iTunes. O iTunes buscará uma DLL específica no diretório que está sendo executado. Se alguém colocar um arquivo criado com códigos maliciosos com um nome específico em um diretório, abrir outro arquivo desse diretório no iTunes pode resultar na execução arbitrária de códigos. Esse problema foi solucionado através da remoção do código que usa a DLL. Este problema não afeta sistemas Mac OS X. Agradecemos a Simon Raner da ACROS Security por comunicar esse problema.

 

Data da publicação: