Сведения о проблемах системы безопасности, устраняемых обновлением iTunes 10.2

В этом документе описаны проблемы безопасности, устраняемые обновлением iTunes 10.2.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье «Выпуски безопасности Apple».

iTunes 10,2

• ImageIO

  Целевые продукты: Windows 7, Vista, XP SP2 или более поздней версии

  Воздействие. Множество уязвимостей в libpng

  Описание. Обновление libpng до версии 1.4.3 для устранения множества уязвимостей, наиболее серьезные из которых могут привести к выполнению произвольного кода. Для систем Mac OS X 10.5 эта проблема устранена в обновлении системы безопасности 2010-007. Дополнительная информация доступна на веб-сайте libpng по адресу http://www.libpng.org/pub/png/libpng.html

  Идентификатор CVE

  CVE-2010-1205

  CVE-2010-2249

• ImageIO

  Целевые продукты: Windows 7, Vista, XP SP2 или более поздней версии

  Воздействие. Открытие вредоносного изображения в формате JPEG может привести к неожиданному завершению работы программы или выполнению произвольного кода

  Описание. При обработке изображений JPEG в ImageIO возникала проблема переполнения буфера динамической памяти. Просмотр вредоносного файла изображения в формате JPEG может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  Идентификатор CVE

  CVE-2011-0170: Andrzej Dyjak, работающий с iDefense VCP

• ImageIO

  Целевые продукты: Windows 7, Vista, XP SP2 или более поздней версии

  Воздействие. Открытие вредоносного изображения в формате XBM может привести к неожиданному завершению работы программы или выполнению произвольного кода

  Описание. При обработке изображений XBM в ImageIO возникала проблема целочисленного переполнения. Открытие вредоносного изображения в формате XBM может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Идентификатор CVE

  CVE-2011-0181: Harry Sintonen

• ImageIO

  Целевые продукты: Windows 7, Vista, XP SP2 или более поздней версии

  Воздействие. Открытие вредоносного изображения в формате TIFF может привести к неожиданному завершению работы программы или выполнению произвольного кода

  Описание. При обработке libTIFF изображений TIFF в кодировке JPEG существовало переполнение буфера. Просмотр вредоносного изображения в формате TIFF может приводить к неожиданному завершению программы или выполнению произвольного кода.

  Идентификатор CVE-ID

  CVE-2011-0191: компания Apple

• ImageIO

  Целевые продукты: Windows 7, Vista, XP SP2 или более поздней версии

  Воздействие. Открытие вредоносного изображения в формате TIFF может привести к неожиданному завершению работы программы или выполнению произвольного кода

  Описание. При обработке libTIFF изображений TIFF в кодировке CCITT Group 4 существовало переполнение буфера. Просмотр вредоносного изображения в формате TIFF может приводить к неожиданному завершению программы или выполнению произвольного кода.

  Идентификатор CVE-ID

  CVE-2011-0192: компания Apple

• libxml

  Целевые продукты: Windows 7, Vista, XP SP2 или более поздней версии

  Воздействие. Обработка вредоносного файла XML может привести к неожиданному завершению работы программы или выполнению произвольного кода

  Описание. При обработке выражений XPath в libxml существовала проблема двойного высвобождения памяти. Обработка вредоносного файла XML может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Идентификатор CVE

  CVE-2010-4494: Yang Dingning из NCNIPC, Университет Китайской академии наук

• libxml

  Целевые продукты: Windows 7, Vista, XP SP2 или более поздней версии

  Воздействие. Обработка вредоносного файла XML может привести к неожиданному завершению работы программы или выполнению произвольного кода

  Описание. При обработке выражений XPath в libxml существовала проблема повреждения памяти. Обработка вредоносного файла XML может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Идентификатор CVE

  CVE-2010-4008: Bui Quang Minh из Bkis (www.bkis.com)

• WebKit

  Целевые продукты: Windows 7, Vista, XP SP2 или более поздней версии.

  Воздействие. Атака «злоумышленник в середине» может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  Описание. В WebKit существует множество проблем с повреждением памяти. Атака «злоумышленник в середине» при просмотре iTunes Store через iTunes может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  Идентификатор CVE

  CVE-2010-1824: kuzzcc и wushi из team509, работающие с компанией TippingPoint по программе Zero Day Initiative

  CVE-2011-0111: Sergey Glazunov

  CVE-2011-0112: Yuzo Fujishima из Google Inc.

  CVE-2011-0113: Andreas Kling из Nokia

  CVE-2011-0114: Chris Evans из подразделения Google Chrome Security Team

  CVE-2011-0115: J23, работающий с компанией TippingPoint по программе Zero Day Initiative, и Emil A Eklund из Google, Inc

  CVE-2011-0116: анонимный исследователь, работающий с компанией TippingPoint по программе Zero Day Initiative

  CVE-2011-0117: Abhishek Arya (Inferno) из Google, Inc.

  CVE-2011-0118: Abhishek Arya (Inferno) из Google, Inc.

  CVE-2011-0119: Abhishek Arya (Inferno) из Google, Inc.

  CVE-2011-0120: Abhishek Arya (Inferno) из Google, Inc.

  CVE-2011-0121: Abhishek Arya (Inferno) из Google, Inc.

  CVE-2011-0122: Slawomir Blazek

  CVE-2011-0123: Abhishek Arya (Inferno) из Google, Inc.

  CVE-2011-0124: Yuzo Fujishima из Google Inc.

  CVE-2011-0125: Abhishek Arya (Inferno) из Google, Inc.

  CVE-2011-0126: Mihai Parparita из Google, Inc.

  CVE-2011-0127: Abhishek Arya (Inferno) из Google, Inc.

  CVE-2011-0128: David Bloom

  CVE-2011-0129: Famlam

  CVE-2011-0130: компания Apple

  CVE-2011-0131: wushi из team509

  CVE-2011-0132: wushi из team509, работающий с компанией TippingPoint по программе Zero Day Initiative

  CVE-2011-0133: wushi из team509, работающий с компанией TippingPoint по программе Zero Day Initiative

  CVE-2011-0134: Jan Tosovsky

  CVE-2011-0135: анонимный исследователь

  CVE-2011-0136: Sergey Glazunov

  CVE-2011-0137: Sergey Glazunov

  CVE-2011-0138: kuzzcc

  CVE-2011-0139: kuzzcc

  CVE-2011-0140: Sergey Glazunov

  CVE-2011-0141: Chris Rohlf из Matasano Security

  CVE-2011-0142: Abhishek Arya (Inferno) из Google, Inc.

  CVE-2011-0143: Slawomir Blazek и Sergey Glazunov

  CVE-2011-0144: Emil A Eklund из Google, Inc.

  CVE-2011-0145: Abhishek Arya (Inferno) из Google, Inc.

  CVE-2011-0146: Abhishek Arya (Inferno) из Google, Inc.

  CVE-2011-0147: Dirk Schulze

  CVE-2011-0148: Michal Zalewski из Google, Inc.

  CVE-2011-0149: wushi из team509, работающий с компанией TippingPoint по программе Zero Day Initiative, и SkyLined из подразделения Google Chrome Security Team

  CVE-2011-0150: Michael Gundlach из safariadblock.com

  CVE-2011-0151: Abhishek Arya (Inferno) из Google, Inc.

  CVE-2011-0152: SkyLined из подразделения Google Chrome Security Team

  CVE-2011-0153: Abhishek Arya (Inferno) из Google, Inc.

  CVE-2011-0154: анонимный исследователь, работающий с компанией TippingPoint по программе Zero Day Initiative

  CVE-2011-0155: Aki Helin из OUSPG

  CVE-2011-0156: Abhishek Arya (Inferno) из Google, Inc.

  CVE-2011-0165: Sergey Glazunov

  CVE-2011-0168: Sergey Glazunov