Obsah zabezpečenia v aplikácii iTunes 10.5

V tomto dokumente sa opisuje obsah zabezpečenia v aplikácii iTunes 10.5.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia od spoločnosti Apple.

iTunes 10.5

  • CoreFoundation

    Dostupné pre: Windows 7, Vista, XP SP2 alebo novší.

    Dosah: Útok typu „man-in-the-middle“ môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

    Popis: Pri spracúvaní generovania tokenov reťazcov dochádzalo k problému s poškodením pamäte. Tento problém sa netýka systémov OS X Lion. V systémoch Mac OS X 10.6 bol tento problém vyriešený aktualizáciou zabezpečenia 2011-006.

    CVE-ID

    CVE-2011-0259: Apple.

  • ColorSync

    Dostupné pre: Windows 7, Vista, XP SP2 alebo novší.

    Dopad: Zobrazenie obrázka so škodlivým kódom s vloženým profilom ColorSync môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu.

    Popis: Pri spracúvaní obrázkov s integrovaným profilom ColorSync dochádzalo k pretečeniu celočíselných hodnôt, čo môže viesť k pretečeniu medzipamäte haldy. Otvorenie obrázka s integrovaným profilom ColorSync so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém sa netýka systémov OS X Lion.

    CVE-ID

    CVE-2011-0200: binaryproof v spolupráci s projektom Zero Day Initiative spoločnosti TippingPoint.

  • CoreAudio

    Dostupné pre: Windows 7, Vista, XP SP2 alebo novší.

    Dosah: Prehrávanie zvukového obsahu so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

    Popis: Pri spracúvaní audio streamu zakódovaného pomocou pokročilého zvukového kódu dochádzalo k pretečeniu medzipamäte. Tento problém sa netýka systémov OS X Lion.

    CVE-ID

    CVE-2011-3252: Luigi Auriemma v spolupráci s projektom Zero Day Initiative spoločnosti TippingPoint.

  • CoreMedia

    Dostupné pre: Windows 7, Vista, XP SP2 alebo novší.

    Dopad: Zobrazenie filmového súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

    Popis: Pri spracúvaní filmových súborov s kódovaním H.264 dochádzalo k pretečeniu medzipamäte. V systémoch OS X Lion bol tento problém vyriešený vydaním verzie OS X Lion 10.7.2. V systémoch Mac OS X 10.6 bol tento problém vyriešený aktualizáciou zabezpečenia 2011-006.

    CVE-ID

    CVE-2011-3219: Damian Put v spolupráci s projektom Zero Day Initiative spoločnosti TippingPoint.

  • ImageIO

    Dostupné pre: Windows 7, Vista, XP SP2 alebo novší.

    Dopad: Zobrazenie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

    Popis: Pri spracúvaní obrázkov TIFF súčasťou ImageIO dochádzalo k pretečeniu medzipamäte haldy. Tento problém sa netýka systémov OS X Lion. V systémoch Mac OS X 10.6 bol tento problém vyriešený vydaním verzie Mac OS X 10.6.8.

    CVE-ID

    CVE-2011-0204: Dominic Chell (NGS Secure).

  • ImageIO

    Dostupné pre: Windows 7, Vista, XP SP2 alebo novší.

    Dopad: Zobrazenie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

    Popis: Pri spracúvaní obrázkov TIFF súčasťou ImageIO dochádzalo k problému s reentrancitou. Tento problém sa netýka systémov Mac OS X.

    CVE-ID

    CVE-2011-0215: Juan Pablo Lopez Yacubian v spolupráci s projektom iDefense VCP.

  • WebKit

    Dostupné pre: Windows 7, Vista, XP SP2 alebo novší

    Dosah: Útok typu „man-in-the-middle“ počas prehliadania iTunes Storu prostredníctvom aplikácie iTunes môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

    Popis: V mechanizme WebKit dochádzalo k viacerým problémom súvisiacim s poškodením pamäte.

    CVE-ID

    CVE-2010-1823: David Weston zo spoločnosti Microsoft a tím Microsoft Vulnerability Research (MSVR), wushi zo skupiny team509 a Yong Li (Research In Motion Ltd.)

    CVE-2011-0164: Apple.

    CVE-2011-0218: SkyLined z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

    CVE-2011-0221: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

    CVE-2011-0222: Nikita Tarakanov a Alex Bazhanyuk z tímu CISS Research Team a Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

    CVE-2011-0223: Jose A. Vazquez (spa-s3c.blogspot.com) v spolupráci s projektom iDefense VCP.

    CVE-2011-0225: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

    CVE-2011-0232: J23 v spolupráci s projektom TippingPoint Zero Day Initiative.

    CVE-2011-0233: wushi zo skupiny team509 v spolupráci s projektom TippingPoint Zero Day Initiative.

    CVE-2011-0234: Rob King v spolupráci s projektom Zero Day Initiative spoločnosti TippingPoint, wushi zo skupiny team509 v spolupráci s projektom Zero Day Initiative spoločnosti TippingPoint, wushi zo skupiny team509 v spolupráci s projektom iDefense VCP.

    CVE-2011-0235: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

    CVE-2011-0237: wushi zo skupiny team509 v spolupráci s projektom iDefense VCP.

    CVE-2011-0238: Adam Barth z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

    CVE-2011-0240: wushi zo skupiny team509 v spolupráci s projektom iDefense VCP.

    CVE-2011-0253: Richard Keen.

    CVE-2011-0254: anonymný výskumník spolupracujúci s projektom TippingPoint Zero Day Initiative.

    CVE-2011-0255: anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti TippingPoint.

    CVE-2011-0981: Rik Cabanier zo spoločnosti Adobe Systems, Inc.

    CVE-2011-0983: Martin Barbella.

    CVE-2011-1109: Sergey Glazunov.

    CVE-2011-1114: Martin Barbella.

    CVE-2011-1115: Martin Barbella.

    CVE-2011-1117: wushi zo skupiny team509.

    CVE-2011-1121: miaubiz.

    CVE-2011-1188: Martin Barbella.

    CVE-2011-1203: Sergey Glazunov.

    CVE-2011-1204: Sergey Glazunov.

    CVE-2011-1288: Andreas Kling zo spoločnosti Nokia.

    CVE-2011-1293: Sergey Glazunov.

    CVE-2011-1296: Sergey Glazunov.

    CVE-2011-1440: Jose A. Vazquez (spa-s3c.blogspot.com).

    CVE-2011-1449: Marek Majkowski.

    CVE-2011-1451: Sergey Glazunov.

    CVE-2011-1453: wushi zo skupiny team509 v spolupráci s projektom TippingPoint Zero Day Initiative.

    CVE-2011-1457: John Knottenbelt zo spoločnosti Google.

    CVE-2011-1462: wushi zo skupiny team509.

    CVE-2011-1797: wushi zo skupiny team509.

    CVE-2011-2338: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer.

    CVE-2011-2339: Cri Neckar z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

    CVE-2011-2341: Apple.

    CVE-2011-2351: miaubiz.

    CVE-2011-2352: Apple.

    CVE-2011-2354: Apple.

    CVE-2011-2356: Adam Barth a Abhishek Arya z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer.

    CVE-2011-2359: miaubiz.

    CVE-2011-2788: Mikolaj Malecki zo spoločnosti Samsung.

    CVE-2011-2790: miaubiz.

    CVE-2011-2792: miaubiz.

    CVE-2011-2797: miaubiz.

    CVE-2011-2799: miaubiz.

    CVE-2011-2809: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

    CVE-2011-2811: Apple.

    CVE-2011-2813: Cris Neckar z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer.

    CVE-2011-2814: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer.

    CVE-2011-2815: SkyLined z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

    CVE-2011-2816: Apple.

    CVE-2011-2817: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer.

    CVE-2011-2818: Martin Barbella.

    CVE-2011-2820: Raman Tenneti a Philip Rogers zo spoločnosti Google.

    CVE-2011-2823: SkyLined z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

    CVE-2011-2827: miaubiz.

    CVE-2011-2831: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer.

    CVE-2011-3232: Aki Helin zo spoločnosti OUSPG.

    CVE-2011-3233: Sadrul Habib Chowdhury z vývojárskej komunity Chromium, Cris Neckar a Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

    CVE-2011-3234: miaubiz.

    CVE-2011-3235: Dimitri Glazkov, Kent Tamura, Dominic Cooney z vývojovej komunity projektu Chromium a Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

    CVE-2011-3236: Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome s použitím aplikácie AddressSanitizer.

    CVE-2011-3237: Dimitri Glazkov, Kent Tamura, Dominic Cooney z vývojovej komunity projektu Chromium a Abhishek Arya (Inferno) z tímu spoločnosti Google pre zabezpečenie prehliadača Chrome.

    CVE-2011-3238: Martin Barbella.

    CVE-2011-3239: Slawomir Blazek.

    CVE-2011-3241: Apple.

    CVE-2011-3244: vkouchna.

  • WebKit

    Dostupné pre: Windows 7, Vista, XP SP2 alebo novší.

    Dosah: Útok typu „man-in-the-middle“ môže viesť k neočakávanému spusteniu ľubovoľného kódu.

    Popis: Pri používaní knižnice libxslt mechanizmom WebKit dochádzalo k problému s konfiguráciou. Útok typu „man-in-the-middle“ počas prehliadania iTunes Storu prostredníctvom aplikácie iTunes môže viesť k vytváraniu ľubovoľných súborov s oprávneniami používateľa, čo môže viesť k spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením nastavení zabezpečenia knižnice libxslt.

    CVE-ID

    CVE-2011-1774: Nicolas Gregoire zo spoločnosti Agarri.

Dôležité: Uvedenie webových stránok a produktov tretích strán slúži len na informačné účely a nepredstavuje podporu ani odporúčanie. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním informácií alebo produktov, ktoré sa nachádzajú na webových stránkach tretích strán. Spoločnosť Apple ich poskytuje len pre pohodlie používateľov. Spoločnosť Apple netestovala informácie uvedené na týchto stránkach a neposkytuje žiadne vyhlásenia týkajúce sa ich presnosti alebo spoľahlivosti. S používaním akýchkoľvek informácií alebo produktov uvedených na internete sú spojené riziká a spoločnosť Apple v tejto súvislosti nenesie žiadnu zodpovednosť. Webové stránky tretích strán sú nezávislé od spoločnosti Apple a spoločnosť Apple nemá žiadnu kontrolu nad ich obsahom. Ak potrebujete ďalšie informácie, kontaktujte príslušného dodávateľa.

Dátum zverejnenia: