Obsah zabezpečenia v aplikácii iTunes 10.5

V tomto dokumente sa opisuje obsah zabezpečenia v aplikácii iTunes 10.5.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia od spoločnosti Apple.

iTunes 10.5

  • CoreFoundation

    Dostupné pre: Windows 7, Vista, XP SP2 alebo novší.

    Dosah: Útok typu „man-in-the-middle“ môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

    Popis: Pri spracúvaní generovania tokenov reťazcov dochádzalo k problému s poškodením pamäte. Tento problém sa netýka systémov OS X Lion. V systémoch Mac OS X 10.6 bol tento problém vyriešený aktualizáciou zabezpečenia 2011-006.

    CVE-ID

    CVE-2011-0259: Apple.

  • ColorSync

    Dostupné pre: Windows 7, Vista, XP SP2 alebo novší.

    Dopad: Zobrazenie obrázka so škodlivým kódom s vloženým profilom ColorSync môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu.

    Popis: Pri spracúvaní obrázkov s integrovaným profilom ColorSync dochádzalo k pretečeniu celočíselných hodnôt, čo môže viesť k pretečeniu medzipamäte haldy. Otvorenie obrázka s integrovaným profilom ColorSync so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém sa netýka systémov OS X Lion.

    CVE-ID

    CVE-2011-0200: binaryproof v spolupráci s projektom Zero Day Initiative spoločnosti TippingPoint.

  • CoreAudio

    Dostupné pre: Windows 7, Vista, XP SP2 alebo novší.

    Dosah: Prehrávanie zvukového obsahu so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

    Popis: Pri spracúvaní audio streamu zakódovaného pomocou pokročilého zvukového kódu dochádzalo k pretečeniu medzipamäte. Tento problém sa netýka systémov OS X Lion.

    CVE-ID

    CVE-2011-3252: Luigi Auriemma v spolupráci s projektom Zero Day Initiative spoločnosti TippingPoint.

  • CoreMedia

    Dostupné pre: Windows 7, Vista, XP SP2 alebo novší.

    Dopad: Zobrazenie filmového súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

    Popis: Pri spracúvaní filmových súborov s kódovaním H.264 dochádzalo k pretečeniu medzipamäte. V systémoch OS X Lion bol tento problém vyriešený vydaním verzie OS X Lion 10.7.2. V systémoch Mac OS X 10.6 bol tento problém vyriešený aktualizáciou zabezpečenia 2011-006.

    CVE-ID

    CVE-2011-3219: Damian Put v spolupráci s projektom Zero Day Initiative spoločnosti TippingPoint.

  • ImageIO

    Dostupné pre: Windows 7, Vista, XP SP2 alebo novší.

    Dopad: Zobrazenie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

    Popis: Pri spracúvaní obrázkov TIFF súčasťou ImageIO dochádzalo k pretečeniu medzipamäte haldy. Tento problém sa netýka systémov OS X Lion. V systémoch Mac OS X 10.6 bol tento problém vyriešený vydaním verzie Mac OS X 10.6.8.

    CVE-ID

    CVE-2011-0204: Dominic Chell (NGS Secure).

  • ImageIO

    Dostupné pre: Windows 7, Vista, XP SP2 alebo novší.

    Dopad: Zobrazenie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

    Popis: Pri spracúvaní obrázkov TIFF súčasťou ImageIO dochádzalo k problému s reentrancitou. Tento problém sa netýka systémov Mac OS X.

    CVE-ID

    CVE-2011-0215: Juan Pablo Lopez Yacubian v spolupráci s projektom iDefense VCP.

  • WebKit

    Dostupné pre: Windows 7, Vista, XP SP2 alebo novší

    Dosah: Útok typu „man-in-the-middle“ počas prehliadania iTunes Storu prostredníctvom aplikácie iTunes môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

    Popis: V mechanizme WebKit dochádzalo k viacerým problémom súvisiacim s poškodením pamäte.

    CVE-ID

    CVE-2010-1823: David Weston zo spoločnosti Microsoft a tím Microsoft Vulnerability Research (MSVR), wushi zo skupiny team509 a Yong Li (Research In Motion Ltd.)

    CVE-2011-0164: Apple.

    CVE-2011-0218: SkyLined z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

    CVE-2011-0221: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

    CVE-2011-0222: Nikita Tarakanov a Alex Bazhanyuk z tímu CISS Research Team a Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

    CVE-2011-0223: Jose A. Vazquez (spa-s3c.blogspot.com) v spolupráci s projektom iDefense VCP.

    CVE-2011-0225: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

    CVE-2011-0232: J23 v spolupráci s projektom TippingPoint Zero Day Initiative.

    CVE-2011-0233: wushi zo skupiny team509 v spolupráci s projektom TippingPoint Zero Day Initiative.

    CVE-2011-0234: Rob King v spolupráci s projektom Zero Day Initiative spoločnosti TippingPoint, wushi zo skupiny team509 v spolupráci s projektom Zero Day Initiative spoločnosti TippingPoint, wushi zo skupiny team509 v spolupráci s projektom iDefense VCP.

    CVE-2011-0235: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

    CVE-2011-0237: wushi zo skupiny team509 v spolupráci s projektom iDefense VCP.

    CVE-2011-0238: Adam Barth z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

    CVE-2011-0240: wushi zo skupiny team509 v spolupráci s projektom iDefense VCP.

    CVE-2011-0253: Richard Keen.

    CVE-2011-0254: anonymný výskumník spolupracujúci s projektom TippingPoint Zero Day Initiative.

    CVE-2011-0255: anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti TippingPoint.

    CVE-2011-0981: Rik Cabanier zo spoločnosti Adobe Systems, Inc.

    CVE-2011-0983: Martin Barbella.

    CVE-2011-1109: Sergey Glazunov.

    CVE-2011-1114: Martin Barbella.

    CVE-2011-1115: Martin Barbella.

    CVE-2011-1117: wushi zo skupiny team509.

    CVE-2011-1121: miaubiz.

    CVE-2011-1188: Martin Barbella.

    CVE-2011-1203: Sergey Glazunov.

    CVE-2011-1204: Sergey Glazunov.

    CVE-2011-1288: Andreas Kling zo spoločnosti Nokia.

    CVE-2011-1293: Sergey Glazunov.

    CVE-2011-1296: Sergey Glazunov.

    CVE-2011-1440: Jose A. Vazquez (spa-s3c.blogspot.com).

    CVE-2011-1449: Marek Majkowski.

    CVE-2011-1451: Sergey Glazunov.

    CVE-2011-1453: wushi zo skupiny team509 v spolupráci s projektom TippingPoint Zero Day Initiative.

    CVE-2011-1457: John Knottenbelt zo spoločnosti Google.

    CVE-2011-1462: wushi zo skupiny team509.

    CVE-2011-1797: wushi zo skupiny team509.

    CVE-2011-2338: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer.

    CVE-2011-2339: Cri Neckar z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

    CVE-2011-2341: Apple.

    CVE-2011-2351: miaubiz.

    CVE-2011-2352: Apple.

    CVE-2011-2354: Apple.

    CVE-2011-2356: Adam Barth a Abhishek Arya z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer.

    CVE-2011-2359: miaubiz.

    CVE-2011-2788: Mikolaj Malecki zo spoločnosti Samsung.

    CVE-2011-2790: miaubiz.

    CVE-2011-2792: miaubiz.

    CVE-2011-2797: miaubiz.

    CVE-2011-2799: miaubiz.

    CVE-2011-2809: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

    CVE-2011-2811: Apple.

    CVE-2011-2813: Cris Neckar z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer.

    CVE-2011-2814: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer.

    CVE-2011-2815: SkyLined z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

    CVE-2011-2816: Apple.

    CVE-2011-2817: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer.

    CVE-2011-2818: Martin Barbella.

    CVE-2011-2820: Raman Tenneti a Philip Rogers zo spoločnosti Google.

    CVE-2011-2823: SkyLined z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

    CVE-2011-2827: miaubiz.

    CVE-2011-2831: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer.

    CVE-2011-3232: Aki Helin zo spoločnosti OUSPG.

    CVE-2011-3233: Sadrul Habib Chowdhury z vývojárskej komunity Chromium, Cris Neckar a Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

    CVE-2011-3234: miaubiz.

    CVE-2011-3235: Dimitri Glazkov, Kent Tamura, Dominic Cooney z vývojovej komunity projektu Chromium a Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

    CVE-2011-3236: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer.

    CVE-2011-3237: Dimitri Glazkov, Kent Tamura, Dominic Cooney z vývojovej komunity projektu Chromium a Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

    CVE-2011-3238: Martin Barbella.

    CVE-2011-3239: Slawomir Blazek.

    CVE-2011-3241: Apple.

    CVE-2011-3244: vkouchna.

  • WebKit

    Dostupné pre: Windows 7, Vista, XP SP2 alebo novší.

    Dosah: Útok typu „man-in-the-middle“ môže viesť k neočakávanému spusteniu ľubovoľného kódu.

    Popis: Pri používaní knižnice libxslt mechanizmom WebKit dochádzalo k problému s konfiguráciou. Útok typu „man-in-the-middle“ počas prehliadania iTunes Storu prostredníctvom aplikácie iTunes môže viesť k vytváraniu ľubovoľných súborov s oprávneniami používateľa, čo môže viesť k spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením nastavení zabezpečenia knižnice libxslt.

    CVE-ID

    CVE-2011-1774: Nicolas Gregoire zo spoločnosti Agarri.

Dôležité: Uvedenie webových stránok a produktov tretích strán slúži len na informačné účely a nepredstavuje podporu ani odporúčanie. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním informácií alebo produktov, ktoré sa nachádzajú na webových stránkach tretích strán. Spoločnosť Apple ich poskytuje len pre pohodlie používateľov. Spoločnosť Apple netestovala informácie uvedené na týchto stránkach a neposkytuje žiadne vyhlásenia týkajúce sa ich presnosti alebo spoľahlivosti. S používaním akýchkoľvek informácií alebo produktov uvedených na internete sú spojené riziká a spoločnosť Apple v tejto súvislosti nenesie žiadnu zodpovednosť. Webové stránky tretích strán sú nezávislé od spoločnosti Apple a spoločnosť Apple nemá žiadnu kontrolu nad ich obsahom. Ak potrebujete ďalšie informácie, kontaktujte príslušného dodávateľa.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: