Obsah zabezpečenia v aplikácii iTunes 10.2

V tomto dokumente sa opisuje obsah zabezpečenia v aplikácii iTunes 10.2.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku „Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple“.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

iTunes 10.2

• ImageIO

  Dostupné pre: Windows 7, Vista, XP SP2 alebo novší

  Dosah: Viacero zraniteľných miest v knižnici libpng

  Opis: Knižnica libpng bola aktualizovaná na verziu 1.4.3 s cieľom odstrániť viacero zraniteľných miest, z ktorých tie najvážnejšie môžu viesť k spusteniu ľubovoľného kódu. V systémoch Mac OS X 10.5 bol tento problém vyriešený aktualizáciou zabezpečenia 2010-007. Ďalšie informácie sú dostupné na webovej stránke knižnice libpng na adrese http://www.libpng.org/pub/png/libpng.html

  CVE-ID

  CVE-2010-1205

  CVE-2010-2249

• ImageIO

  Dostupné pre: Windows 7, Vista, XP SP2 alebo novší

  Dosah: Zobrazenie obrázka JPEG so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

  Opis: Pri spracúvaní obrázkov JPEG súčasťou ImageIO dochádza k pretečeniu vyrovnávacej pamäte haldy. Zobrazenie obrázka JPEG so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

  CVE-ID

  CVE-2011-0170: Andrzej Dyjak v spolupráci s programom iDefense VCP

• ImageIO

  Dostupné pre: Windows 7, Vista, XP SP2 alebo novší

  Dosah: Zobrazenie obrázka XBM so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

  Opis: Pri spracúvaní obrázkov XBM súčasťou ImageIO dochádza k pretečeniu celočíselných hodnôt. Zobrazenie obrázka XBM so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

  CVE-ID

  CVE-2011-0181: Harry Sintonen

• ImageIO

  Dostupné pre: Windows 7, Vista, XP SP2 alebo novší

  Dosah: Zobrazenie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

  Opis: Pri spracúvaní obrázkov TIFF s kódovaním JPEG prostredníctvom knižnice libTIFF dochádzalo k pretečeniu medzipamäte. Zobrazenie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

  CVE-ID

  CVE-2011-0191: Apple

• ImageIO

  Dostupné pre: Windows 7, Vista, XP SP2 alebo novší

  Dosah: Zobrazenie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

  Opis: Pri spracúvaní obrázkov TIFF s kódovaním CCITT Group 4 prostredníctvom knižnice libTIFF dochádzalo k pretečeniu medzipamäte. Zobrazenie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

  CVE-ID

  CVE-2011-0192: Apple

• libxml

  Dostupné pre: Windows 7, Vista, XP SP2 alebo novší

  Dosah: Spracovanie súboru XML so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

  Opis: Pri spracúvaní výrazov XPath prostredníctvom knižnice libxml dochádzalo k problému s dvojitým uvoľnením. Spracovanie súboru XML so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

  CVE-ID

  CVE-2010-4494: Yang Dingning z NCNIPC, univerzita na postgraduálne štúdium v rámci Čínskej akadémie vied

• libxml

  Dostupné pre: Windows 7, Vista, XP SP2 alebo novší

  Dosah: Spracovanie súboru XML so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

  Opis: Pri spracúvaní výrazov XPath prostredníctvom knižnice libxml dochádzalo k problému súvisiacemu s poškodením pamäte. Spracovanie súboru XML so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

  CVE-ID

  CVE-2010-4008: Bui Quang Minh zo spoločnosti Bkis (www.bkis.com)

• WebKit

  Dostupné pre: Windows 7, Vista, XP SP2 alebo novší

  Dosah: Útok typu „man-in-the-middle“ môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

  Opis: V mechanizme WebKit dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Útok typu „man-in-the-middle“ počas prehliadania iTunes Storu prostredníctvom aplikácie iTunes môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

  CVE-ID

  CVE-2010-1824: kuzzcc a wushi zo skupiny team509 v spolupráci s projektom Zero Day Initiative spoločnosti TippingPoint

  CVE-2011-0111: Sergey Glazunov

  CVE-2011-0112: Yuzo Fujishima zo spoločnosti Google Inc.

  CVE-2011-0113: Andreas Kling zo spoločnosti Nokia

  CVE-2011-0114: Chris Evans z tímu pre zabezpečenie prehliadača Google Chrome

  CVE-2011-0115: J23 v spolupráci s projektom Zero Day Initiative spoločnosti TippingPoint a Emil A Eklund zo spoločnosti Google, Inc

  CVE-2011-0116: anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti TippingPoint

  CVE-2011-0117: Abhishek Arya (Inferno) zo spoločnosti Google, Inc.

  CVE-2011-0118: Abhishek Arya (Inferno) zo spoločnosti Google, Inc.

  CVE-2011-0119: Abhishek Arya (Inferno) zo spoločnosti Google, Inc.

  CVE-2011-0120: Abhishek Arya (Inferno) zo spoločnosti Google, Inc.

  CVE-2011-0121: Abhishek Arya (Inferno) zo spoločnosti Google, Inc.

  CVE-2011-0122: Slawomir Blazek

  CVE-2011-0123: Abhishek Arya (Inferno) zo spoločnosti Google, Inc.

  CVE-2011-0124: Yuzo Fujishima zo spoločnosti Google Inc.

  CVE-2011-0125: Abhishek Arya (Inferno) zo spoločnosti Google, Inc.

  CVE-2011-0126: Mihai Parparita zo spoločnosti Google, Inc.

  CVE-2011-0127: Abhishek Arya (Inferno) zo spoločnosti Google, Inc.

  CVE-2011-0128: David Bloom

  CVE-2011-0129: Famlam

  CVE-2011-0130: Apple

  CVE-2011-0131: wushi zo skupiny team509

  CVE-2011-0132: wushi zo skupiny team509 v spolupráci s projektom Zero Day Initiative spoločnosti TippingPoint

  CVE-2011-0133: wushi zo skupiny team509 v spolupráci s projektom Zero Day Initiative spoločnosti TippingPoint

  CVE-2011-0134: Jan Tosovsky

  CVE-2011-0135: anonymný nahlasovateľ

  CVE-2011-0136: Sergey Glazunov

  CVE-2011-0137: Sergey Glazunov

  CVE-2011-0138: kuzzcc

  CVE-2011-0139: kuzzcc

  CVE-2011-0140: Sergey Glazunov

  CVE-2011-0141: Chris Rohlf (Matasano Security)

  CVE-2011-0142: Abhishek Arya (Inferno) zo spoločnosti Google, Inc.

  CVE-2011-0143: Slawomir Blazek a Sergey Glazunov

  CVE-2011-0144: Emil A Eklund zo spoločnosti Google, Inc.

  CVE-2011-0145: Abhishek Arya (Inferno) zo spoločnosti Google, Inc.

  CVE-2011-0146: Abhishek Arya (Inferno) zo spoločnosti Google, Inc.

  CVE-2011-0147: Dirk Schulze

  CVE-2011-0148: Michal Zalewski zo spoločnosti Google, Inc.

  CVE-2011-0149: wushi zo skupiny team509 v spolupráci s projektom Zero Day Initiative spoločnosti TippingPoint a SkyLined z tímu pre zabezpečenie prehliadača Google Chrome

  CVE-2011-0150: Michael Gundlach (safariadblock.com)

  CVE-2011-0151: Abhishek Arya (Inferno) zo spoločnosti Google, Inc.

  CVE-2011-0152: SkyLined z tímu pre zabezpečenie prehliadača Google Chrome

  CVE-2011-0153: Abhishek Arya (Inferno) zo spoločnosti Google, Inc.

  CVE-2011-0154: anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti TippingPoint

  CVE-2011-0155: Aki Helin (OUSPG)

  CVE-2011-0156: Abhishek Arya (Inferno) zo spoločnosti Google, Inc.

  CVE-2011-0165: Sergey Glazunov

  CVE-2011-0168: Sergey Glazunov