Obsah zabezpečenia v aplikácii iTunes 9.1

V tomto dokumente sa popisuje obsah zabezpečenia v aplikácii iTunes 9.1.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku „Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple“.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku „Aktualizácie zabezpečenia od spoločnosti Apple“.

iTunes 9.1

  • ColorSync

    CVE-ID: CVE-2010-0040

    Dostupné pre: Windows 7, Vista, XP

    Dopad: Zobrazenie obrázka so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

    Popis: Pri spracúvaní obrázkov s integrovaným farebným profilom dochádza k pretečeniu celočíselných hodnôt, čo môže viesť k pretečeniu vyrovnávacej pamäte haldy. Otvorenie obrázka s integrovaným farebným profilom so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Problém sa rieši vykonaním dodatočného overenia farebných profilov. Tento problém sa netýka systémov Mac OS X. Poďakovanie za nahlásenie tohto problému patrí Sebastienovi Renaudovi z tímu VUPEN Vulnerability Research.

  • ImageIO

    CVE-ID: CVE-2009-2285

    Dostupné pre: Windows 7, Vista, XP

    Dopad: Zobrazenie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

    Popis: Pri spracúvaní obrázkov TIFF súčasťou ImageIO dochádza k podtečeniu vyrovnávacej pamäte. Zobrazenie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením kontroly rozsahu. V systémoch Mac OS X 10.6 bol tento problém vyriešený vydaním verzie Mac OS X 10.6.2. V systémoch Mac OS X 10.5 bol tento problém vyriešený aktualizáciou zabezpečenia 2010-001.

  • ImageIO

    CVE-ID: CVE-2010-0041

    Dostupné pre: Windows 7, Vista, XP

    Dopad: Pri navštívení webovej stránky so škodlivým kódom sa môžu na túto stránku odoslať údaje z pamäte prehliadača Safari.

    Popis: Pri spracúvaní obrázkov BMP súčasťou ImageIO dochádza k problému s prístupom k neinicializovanej pamäti. Pri navštívení webovej stránky so škodlivým kódom sa môžu na túto stránku odoslať údaje z pamäte prehliadača Safari. Tento problém bol vyriešený vylepšením spracovania obsahu pamäte a dodatočným overovaním obrázkov BMP. V systémoch Mac OS X 10.6 bol tento problém vyriešený vydaním verzie Mac OS X 10.6.3. V systémoch Mac OS X 10.5 bol tento problém vyriešený aktualizáciou zabezpečenia 2010-002. Poďakovanie za nahlásenie tohto problému si zaslúži Matthew „j00ru“ Jurczyk zo spoločnosti Hispasec.

  • ImageIO

    CVE-ID: CVE-2010-0042

    Dostupné pre: Windows 7, Vista, XP

    Dopad: Pri navštívení webovej stránky so škodlivým kódom sa môžu na túto stránku odoslať údaje z pamäte prehliadača Safari.

    Popis: Pri spracúvaní obrázkov TIFF súčasťou ImageIO dochádza k problému s prístupom k neinicializovanej pamäti. Pri navštívení webovej stránky so škodlivým kódom sa môžu na túto stránku odoslať údaje z pamäte prehliadača Safari. Tento problém bol vyriešený vylepšením spracovania obsahu pamäte a dodatočným overovaním obrázkov TIFF. V systémoch Mac OS X 10.6 bol tento problém vyriešený vydaním verzie Mac OS X 10.6.3. V systémoch Mac OS X 10.5 bol tento problém vyriešený aktualizáciou zabezpečenia 2010-002. Poďakovanie za nahlásenie tohto problému si zaslúži Matthew „j00ru“ Jurczyk zo spoločnosti Hispasec.

  • ImageIO

    CVE-ID: CVE-2010-0043

    Dostupné pre: Windows 7, Vista, XP

    Dopad: Spracovanie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

    Popis: Pri spracúvaní obrázkov TIFF dochádza k problému súvisiacemu s poškodením pamäte. Spracovanie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením spracovania obsahu pamäte. V systémoch Mac OS X 10.6 bol tento problém vyriešený pri vydaní verzie Mac OS X 10.6.3. Poďakovanie za nahlásenie tohto problému patrí Gusovi Muellerovi zo spoločnosti Flying Meat.

  • iTunes

    CVE-ID: CVE-2010-0531

    Dostupné pre: Mac OS X 10.4.11 alebo novší, Mac OS X Server 10.4.11 alebo novší, Windows 7, Vista, XP

    Dopad: Importovanie súboru MP4 so škodlivým kódom môže viesť k odmietnutiu služby.

    Popis: Pri spracúvaní súborov MP4 dochádza k problému s nekonečnou slučkou. Podcast so škodlivým kódom môže v aplikácii iTunes vytvoriť nekonečnú slučku a zabrániť jej fungovaniu aj po jej opätovnom spustení. Tento problém bol vyriešený vylepšením overovania súborov MP4. Poďakovanie za nahlásenie tohto problému patrí Sojeongovi Hongovi z tímu Sourcefire VRT.

  • iTunes

    CVE-ID: CVE-2010-0532

    Dostupné pre: Windows 7, Vista, XP

    Dopad: Pri inštalácii aplikácie iTunes môže lokálny používateľ získať systémové oprávnenia.

    Popis: V inštalačnom balíku aplikácie iTunes pre Windows sa vyskytuje problém s postúpením oprávnení. Počas inštalácie môže problém s postupnosťou vykonania procesov umožniť lokálnemu používateľovi zmeniť súbor, ktorý sa potom spustí so systémovými oprávneniami. Tento problém bol vyriešený vylepšením kontroly prístupu k inštalačným súborom. Tento problém sa netýka systémov Mac OS X. Poďakovanie za nahlásenie tohto problému patrí Jasonovi Geffnerovi zo spoločnosti NGSSoftware.

  • iTunes

    CVE-ID: CVE-2010-1768

    Dostupné pre: Mac OS X 10.4.11 alebo novší, Mac OS X Server 10.4.11 alebo novší

    Dopad: Pri synchronizácii mobilného zariadenia môže lokálny používateľ získať oprávnenia vyššej úrovne.

    Popis: Pri spracovávaní protokolových súborov pre mobilné zariadenia dochádza k nezabezpečenej operácii so súbormi. Pri synchronizácii iPhonu, iPadu alebo iPodu touch môže lokálny používateľ získať oprávnenia používateľa konzoly. Tento problém bol vyriešený vylepšením spracovania protokolových súborov. Poďakovanie za nahlásenie tohto problému si zaslúžia Jon Passki a Nicolas Seriot (HEIG-VD).

  • iTunes

    CVE-ID: CVE-2010-1795

    Dostupné pre: Windows 7, Vista, XP

    Dopad: Otvorenie súboru z adresára so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu.

    Popis: V aplikácii iTunes dochádza k problému s vyhľadávaním cesty. Aplikácia iTunes hľadá konkrétny súbor DLL v aktuálnom pracovnom adresári. Ak niekto do adresára umiestni súbor s daným názvom obsahujúci škodlivý kód, otvorenie iného súboru z daného adresára v aplikácii iTunes môže viesť k spusteniu ľubovoľného kódu. Tento problém bol vyriešený odstránením kódu, ktorý využíva súbor DLL. Tento problém sa netýka systémov Mac OS X. Poďakovanie za nahlásenie tohto problému patrí Simonovi Ranerovi zo spoločnosti ACROS Security.

Dôležité: Informácie o produktoch, ktoré nevyrobila spoločnosť Apple, majú iba informačný charakter a nepredstavujú odporúčanie ani schválenie týchto produktov zo strany spoločnosti Apple. Ak potrebujete ďalšie informácie, kontaktujte príslušného dodávateľa.

Dátum zverejnenia: