Om säkerhetsinnehållet i iTunes 9.1

Det här dokumentet beskriver säkerhetsinnehållet i iTunes 9.1.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apples produktsäkerhet.

Information om Apples PGP-nyckel för produktsäkerhet finns i Så här använder du en PGP-nyckel från Apples produktsäkerhet.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns på Säkerhetsuppdateringar från Apple.

iTunes 9.1

  • ColorSync

    CVE-ID: CVE-2010-0040

    Tillgänglig för: Windows 7, Vista, XP

    Problem: Visning av en skadlig bild med en inbäddad färgprofil kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Ett heltalsspill kan leda till ett heap-buffertspill vid bildbehandling av bilder med inbäddade färgprofiler. Om du öppnar en skadlig bild med en inbäddad färgprofil kan det leda till att program avslutas oväntat eller att opålitlig kod körs. Denna uppdatering åtgärdar problemet genom att utföra ytterligare verifiering av färgprofiler. Detta problem påverkar inte Mac OS X-system. Tack till Sebastien Renaud från VUPEN Vulnerability Research Team som rapporterade problemet.

  • ImageIO

    CVE-ID: CVE-2009-2285

    Tillgänglig för: Windows 7, Vista, XP

    Problem: Visning av en TIFF-bild med skadligt innehåll kan leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: En buffertöversvämning förekommer i ImageIO:s hantering av TIFF-bilder. Visning av en TIFF-bild med skadligt innehåll kan leda till att program avslutas oväntat eller att opålitlig kod körs. Det här problemet avhjälps genom förbättrad gränskontroll. Problemet är åtgärdat i Mac OS X v10.6.2 för Mac OS X v10.6-system. Problemet är åtgärdat i Säkerhetsuppdatering 2010-001 för Mac OS X v10.5-system.

  • ImageIO

    CVE-ID: CVE-2010-0041

    Tillgänglig för: Windows 7, Vista, XP

    Problem: Besök på en webbsida med skadligt innehåll kan leda till att data skickas från Safaris minne till webbplatsen

    Beskrivning: Det förekommer ett problem med oinitierad minnesåtkomst i ImageIO:s hantering av BMP-bilder. Besök på en webbsida med med skadligt innehåll kan leda till att data skickas från Safaris minne till webbplatsen. Problemet är åtgärdat genom bättre minneshantering och ytterligare validering av BMP-bilder. Problemet är åtgärdat i Mac OS X v10.6.3 för Mac OS X v10.6-system. Problemet är åtgärdat i Säkerhetsuppdatering 2010-002 för Mac OS X v10.5-system. Tack till Matthew 'j00ru' Jurczyk på Hispasec som rapporterade problemet.

  • ImageIO

    CVE-ID: CVE-2010-0042

    Tillgänglig för: Windows 7, Vista, XP

    Problem: Besök på en webbsida med skadligt innehåll kan leda till att data skickas från Safaris minne till webbplatsen

    Beskrivning: Det förekommer ett problem med oinitierad minnesåtkomst i ImageIO:s hantering av TIFF-bilder. Besök på en webbsida med sabotageprogram kan leda till att data skickas från Safaris minne till webbplatsen. Problemet är åtgärdat genom bättre minneshantering och ytterligare validering av TIFF-bilder. Problemet är åtgärdat i Mac OS X v10.6.3 för Mac OS X v10.6-system. Problemet är åtgärdat i Säkerhetsuppdatering 2010-002 för Mac OS X v10.5-system. Tack till Matthew 'j00ru' Jurczyk på Hispasec som rapporterade problemet.

  • ImageIO

    CVE-ID: CVE-2010-0043

    Tillgänglig för: Windows 7, Vista, XP

    Problem: Visning av en TIFF-bild med skadligt innehåll kan leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett problem med skadat minnesinnehåll förekommer i hanteringen av TIFF-bilder. Bearbetning av en illvilligt skapad TIFF-bild kan leda till att program avslutas oväntat eller att opålitlig kod körs. Detta problem är åtgärdat genom förbättrad minneshantering. För Mac OS X v10.6 är detta problem åtgärdat i Mac OS X v10.6.3. Problemet påverkar inte versioner före Mac OS X v10.6. Tack till Gus Mueller på Flying Meat som rapporterade problemet.

  • iTunes

    CVE-ID: CVE-2010-0531

    Tillgänglig för: Mac OS X v10.4.11 eller senare, Mac OS X Server v10.4.11 eller senare, Windows 7, Vista, XP

    Problem: Om du importerar en skadlig MP4-fil kan det leda till att tjänsten inte fungerar

    Beskrivning: Problem med en oändlig slinga finns i hantering av MP4-filer. En skadlig podcast kan orsaka en oändlig slinga i iTunes och göra så att det inte fungerar även efter omstart. Det här problemet åtgärdas med förbättrad validering av MP4-filer. Tack till Sojeong Hong på Sourcefire VRT som rapporterade problemet.

  • iTunes

    CVE-ID: CVE-2010-0532

    Tillgänglig för: Windows 7, Vista, XP

    Problem: En lokal användare kan få möjlighet att skaffa systemrättigheter vid installation av iTunes

    Beskrivning: En eskalering av rättigheter finns i iTunes för Windows installationspaket. Under installationen kan en rusning tillåta en lokal användare att modifiera en fil som sedan verkställs med systemrättigheter. Problemet är åtgärdat genom förbättrad accesskontroll för installationsfiler. Detta problem påverkar inte Mac OS X-system. Tack till Jason Geffner på NGSSoftware som rapporterade detta problem.

  •  

    iTunes

    CVE-ID: CVE-2010-1768

    Tillgänglig för: Mac OS X v10.4.11 eller senare, Mac OS X Server v10.4.11 eller senare

    Inverkan: Synkronisering av en mobil enhet kan ge en lokal användare utökad behörighet

    Beskrivning: En osäker filåtgärd förekommer i hanteringen av loggfiler för mobila enheter. Synkronisering av en iPhone, iPad eller iPod touch kan ge en lokal användaren samma behörighet som konsolanvändaren. Det här problemet åtgärdas genom förbättrad hantering av loggfiler. Tack till Jon Passki och Nicolas Seriot på HEIG-VD för att de rapporterade det här problemet.

  •  

    iTunes

    CVE-ID: CVE-2010-1795

    Tillgänglig för: Windows 7, Vista, XP

    Inverkan: Öppnande av en fil i en uppsåtligt skapad katalog kan leda till exekvering av opålitlig kod

    Beskrivning: iTunes innehåller ett sökvägsproblem. iTunes söker efter en särskild DLL i arbetskatalogen som används för tillfället. Om någon lägger en uppsåtligt skapad fil med ett särskilt namn i en katalog, så kan öppnaden av en annan fil i den katalogen leda till exekvering av opålitlig kod. Problemet åtgärdas genom borttag av koden som använder DLL-filen. Detta problem påverkar inte Mac OS X-system. Tack till Simon Raner på ACROS Security som rapporterade det här problemet.

 

Publiceringsdatum: