Den här artikeln har arkiverats och uppdateras inte längre av Apple.

Om säkerhetsinnehållet i iTunes 9.1.

I det här dokumentet beskrivs säkerhetsinnehållet i iTunes 9.1.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples Product Security.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple."

iTunes 9.1

  • ColorSync

    CVE-ID: CVE-2010-0040

    Tillgängligt för: Windows 7, Vista, XP

    Effekt: Visning av en skadlig bild med en inbäddad färgprofil kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Ett heltalsspill, som kan leda till ett heap-buffertspill, förekommer i hanteringen av bilder med en inbäddad färgprofil. Öppnande av en bild med skadligt innehåll och med en inbäddad färgprofil kan leda till att program oväntat avslutas eller att opålitlig kod körs. Problemet åtgärdas genom att utföra ytterligare validering av färgprofiler. Detta problem påverkar inte system med Mac OS X. Tack till Sebastien Renaud på VUPEN Vulnerability Research Team som rapporterade problemet.

  • ImageIO

    CVE-ID: CVE-2009-2285

    Tillgängligt för: Windows 7, Vista, XP

    Effekt: Visning av en skadlig TIFF-bild kan det leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Det finns ett buffertspill i ImageIO:s hantering av TIFF-bilder. Visning av en TIFF-bild med skadligt innehåll kan leda till att program avslutas oväntat eller att opålitlig kod körs. Det här problemet åtgärdas genom förbättrad gränskontroll. För Mac OS X 10.6-system åtgärdas det här problemet i Mac OS X 10.6.2. För Mac OS X 10.5-system åtgärdas det här problemet i Säkerhetsuppdatering 2010-001.

  • ImageIO

    CVE-ID: CVE-2010-0041

    Tillgängligt för: Windows 7, Vista, XP

    Effekt: Visning av en skadlig webbplats kan leda till att data skickas från Safaris minne till webbplatsen

    Beskrivning: Ett problem med åtkomst till oinitierat minne förekommer i ImageIO:s hantering av BMP-bilder. Besök på en skadlig webbplats kan leda till att data skickas från Safaris minne till webbplatsen. Det här problemet åtgärdas genom förbättrad minneshantering och ytterligare validering av BMP-bilder. För Mac OS X 10.6-system åtgärdas det här problemet i Mac OS X 10.6.3. För Mac OS X 10.5-system åtgärdas det här problemet i Säkerhetsuppdatering 2010-002. Tack till Matthew 'j00ru' Jurczyk på Hispasec som rapporterade det här problemet.

  • ImageIO

    CVE-ID: CVE-2010-0042

    Tillgängligt för: Windows 7, Vista, XP

    Effekt: Visning av en skadlig webbplats kan leda till att data skickas från Safaris minne till webbplatsen

    Beskrivning: Ett problem med åtkomst till oinitierat minne förekommer i ImageIO:s hantering av TIFF-bilder. Besök på en skadlig webbplats kan leda till att data skickas från Safaris minne till webbplatsen. Det här problemet åtgärdas genom förbättrad minneshantering och ytterligare validering av TIFF-bilder. För Mac OS X 10.6-system åtgärdas det här problemet i Mac OS X 10.6.3. För Mac OS X 10.5-system åtgärdas det här problemet i Säkerhetsuppdatering 2010-002. Tack till Matthew 'j00ru' Jurczyk på Hispasec som rapporterade det här problemet.

  • ImageIO

    CVE-ID: CVE-2010-0043

    Tillgängligt för: Windows 7, Vista, XP

    Effekt: Bearbetning av en skadlig TIFF-bild kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Det finns ett problem med minnesfel vid hanteringen av TIFF-bilder. Bearbetning av en skadlig TIFF-bild kan leda till att program avslutas oväntat eller att opålitlig kod körs. Problemet åtgärdas genom förbättrad minneshantering. För Mac OS X 10.6-system åtgärdas det här problemet i Mac OS X 10.6.3. Det här problemet påverkar inte system före Mac OS X 10.6. Tack till Gus Mueller på Flying Meat som rapporterade det här problemet.

  • iTunes

    CVE-ID: CVE-2010-0531

    Tillgängligt för: Mac OS X 10.4.11 eller senare, Mac OS X Server 10.4.11 eller senare, Windows 7, Vista, XP

    Effekt: Import av en skadlig mp4-fil kan leda till att en tjänst nekas

    Beskrivning: Det förekommer ett problem med en oändlig loop i hanteringen av mp4-filer. En skadlig podcast kan orsaka en oändlig loop i iTunes och förhindra dess drift till och efter att den startas om. Det här problemet åtgärdas med förbättrad validering av mp4-filer. Tack till Sojeong Hong på Sourcefire VRT som rapporterade det här problemet.

  • iTunes

    CVE-ID: CVE-2010-0532

    Tillgängligt för: Windows 7, Vista, XP

    Effekt: En lokal användare kan få systembehörigheter under iTunes-installationen

    Beskrivning: Det finns ett problem med behörighetseskalering i iTunes för Windows-installationspaket. Under installationsprocessen kan ett sällsynt tillstånd låta en lokal användare ändra en fil som sedan körs med systembehörigheter. Det här problemet åtgärdas genom förbättrade åtkomstkontroller för installationsfiler. Detta problem påverkar inte system med Mac OS X. Tack till Jason Geffner på NGSSoftware som rapporterade det här problemet.

  • iTunes

    CVE-ID: CVE-2010-1768

    Tillgängligt för: Mac OS X 10.4.11 eller senare, Mac OS X Server 10.4.11 eller senare

    Effekt: Synkronisering på en mobil enhet kan låta en lokal användare få högre behörigheter

    Beskrivning: En osäker filoperation förekommer i hanteringen av loggfiler för mobila enheter. Synkronisering av en iPhone, iPad eller iPod touch kan låta en lokal användare få systemanvändarens behörigheter. Det här problemet åtgärdas med förbättrad validering av loggfiler. Tack till Jon Passki och Nicolas Seriot på HEIG-VD som rapporterade det här problemet.

  • iTunes

    CVE-ID: CVE-2010-1795

    Tillgängligt för: Windows 7, Vista, XP

    Effekt: Öppnande av en fil i en skadligt förberedd katalog kan leda till att opålitlig kod körs

    Beskrivning: Det förekommer ett problem med sökvägar i iTunes. iTunes söker efter en specifik DLL i den nuvarande arbetskatalogen. Om någon placerar en skadlig film med ett specifikt namn i en katalog kan öppnandet av en annan fil i den katalogen i iTunes leda till att opålitlig kod körs. Det här problemet åtgärdas genom att ta bort koden som använder DLL. Detta problem påverkar inte system med Mac OS X. Tack till Simon Raner på ACROS Security som rapporterade det här problemet.

Viktigt! Information om produkter som inte tillverkas av Apple ges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Kontakta säljaren för ytterligare information.

Publiceringsdatum: