Este artigo foi arquivado e já não é actualizado pela Apple.

Acerca dos conteúdos de segurança do iTunes 9.1

Este documento descreve os conteúdos de segurança do iTunes 9.1.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos Apple".

Sempre que possível, são utilizados CVE ID para designar as vulnerabilidades e disponibilizar mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple."

iTunes 9.1

  • ColorSync

    ID CVE: CVE-2010-0040

    Disponível para: Windows 7, Vista, XP

    Impacto: visualizar uma imagem criada com intuito malicioso, com um perfil de cor incorporado, poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existe uma ultrapassagem do limite máximo de números inteiros durante o processamento de imagens com um perfil de cor incorporado que poderá provocar a ultrapassagem do limite máximo do buffer da pilha. Abrir uma imagem criada com intuito malicioso, com um perfil de cor incorporado, poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. O problema foi resolvido através da validação adicional de perfis de cores. Este problema não afeta os sistemas Mac OS X. Os nossos agradecimentos a Sebastien Renaud da Equipa de pesquisa de vulnerabilidades da VUPEN por ter comunicado este problema.

  • ImageIO

    ID CVE: CVE-2009-2285

    Disponível para: Windows 7, Vista, XP

    Impacto: visualizar uma imagem TIFF criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existe uma ultrapassagem do limite máximo do buffer no processamento de imagens TIFF por parte de ImageIO. Visualizar uma imagem TIFF criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através da verificação melhorada dos limites. No caso dos sistemas Mac OS X v10.6, este problema foi resolvido no Mac OS X v10.6.2. No caso dos sistemas Mac OS X v10.5, este problema foi resolvido na Atualização de segurança 2010-001.

  • ImageIO

    ID CVE: CVE-2010-0041

    Disponível para: Windows 7, Vista, XP

    Impacto: visitar um site criado com intuito malicioso poderá provocar o envio de dados da memória do Safari para o site

    Descrição: existe um problema de acesso à memória não inicializada no processamento de imagens BMP por parte de ImageIO. Visitar um site criado com intuito malicioso poderá provocar o envio de dados da memória do Safari para o site. Este problema foi resolvido através do processamento melhorado da memória e da validação adicional de imagens BMP. No caso dos sistemas Mac OS X v10.6, este problema foi resolvido no Mac OS X v10.6.3. No caso dos sistemas Mac OS X v10.5, este problema foi resolvido na Atualização de segurança 2010-002. Os nossos agradecimentos a Matthew "j00ru" Jurczyk da Hispasec por ter comunicado este problema.

  • ImageIO

    ID CVE: CVE-2010-0042

    Disponível para: Windows 7, Vista, XP

    Impacto: visitar um site criado com intuito malicioso poderá provocar o envio de dados da memória do Safari para o site

    Descrição: existe um problema de acesso à memória não inicializada no processamento de imagens TIFF por parte de ImageIO. Visitar um site criado com intuito malicioso poderá provocar o envio de dados da memória do Safari para o site. Este problema foi resolvido através do processamento melhorado da memória e da validação adicional de imagens TIFF. No caso dos sistemas Mac OS X v10.6, este problema foi resolvido no Mac OS X v10.6.3. No caso dos sistemas Mac OS X v10.5, este problema foi resolvido na Atualização de segurança 2010-002. Os nossos agradecimentos a Matthew "j00ru" Jurczyk da Hispasec por ter comunicado este problema.

  • ImageIO

    ID CVE: CVE-2010-0043

    Disponível para: Windows 7, Vista, XP

    Impacto: processar uma imagem TIFF criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existe um problema de corrupção da memória no processamento de imagens TIFF. Processar uma imagem TIFF criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através do processamento melhorado da memória. Para sistemas Mac OS X v10.6, este problema foi resolvido no Mac OS X v10.6.3. O problema não afeta sistemas anteriores ao Mac OS X v10.6. Os nossos agradecimentos a Gus Mueller da Flying Meat por ter comunicado este problema.

  • iTunes

    ID CVE: CVE-2010-0531

    Disponível para: Mac OS X v10.4.11 ou posterior, Mac OS X Server v10.4.11 ou posterior, Windows 7, Vista, XP

    Impacto: importar um ficheiro MP4 criado com intuito malicioso poderá provocar uma recusa de serviço

    Descrição: existe um loop infinito no processamento de ficheiros MP4. Um podcast criado com intuito malicioso poderá provocar um loop infinito no iTunes e impedir que funcione, mesmo depois de reiniciado. O problema foi resolvido através da validação melhorada dos ficheiros MP4. Os nossos agradecimentos a Sojeong Hong da Sourcefire VRT por ter comunicado este problema.

  • iTunes

    ID CVE: CVE-2010-0532

    Disponível para: Windows 7, Vista, XP

    Impacto: um utilizador local poderá conseguir obter privilégios de sistema durante a instalação do iTunes

    Descrição: existe um problema de reencaminhamento de privilégios no pacote de instalação do iTunes para Windows. Durante o processo de instalação, uma condição de disputa poderá permitir que um utilizador local modifique um ficheiro que será, em seguida, executado com privilégios de sistema. O problema foi resolvido através de controlos de acesso melhorados para os ficheiros de instalação. Este problema não afeta os sistemas Mac OS X. Os nossos agradecimentos a Jason Geffner da NGSSoftware por ter comunicado este problema.

  • iTunes

    ID CVE: CVE-2010-1768

    Disponível para: Mac OS X v10.4.11 ou posterior, Mac OS X Server v10.4.11 ou posterior

    Impacto: sincronizar um dispositivo móvel poderá permitir que um utilizador local obtenha privilégios elevados

    Descrição: existe uma operação de ficheiro insegura no processamento de ficheiros de registo para dispositivos móveis. Sincronizar um iPhone, iPad ou iPod touch poderá permitir que um utilizador local obtenha os privilégios do utilizador da consola. Este problema foi resolvido através processamento melhorado dos ficheiros de registo. Os nossos agradecimentos a Jon Passki, e a Nicolas Seriot da HEIG-VD por terem comunicado este problema.

  • iTunes

    ID CVE: CVE-2010-1795

    Disponível para: Windows 7, Vista, XP

    Impacto: abrir um ficheiro com um diretório preparado com intuito malicioso poderá provocar a execução de um código arbitrário

    Descrição: existe um problema de pesquisa de caminhos no iTunes. O iTunes pesquisa uma DLL específica no diretório de trabalho atual. Se alguém colocar um ficheiro criado com intuito malicioso, com um determinado nome, num diretório, abrir outro ficheiro nesse diretório no iTunes poderá provocar a execução de um código arbitrário. Este problema foi resolvido através da remoção do código que utiliza a DLL. Este problema não afeta os sistemas Mac OS X. Os nossos agradecimentos a Simon Raner da ACROS Security por ter comunicado este problema.

Importante: as informações sobre produtos não fabricados pela Apple são disponibilizadas apenas para fins informativos e não constituem uma recomendação ou aprovação da Apple. Contacte o fornecedor para obter mais informações.

Data de publicação: