เกี่ยวกับเนื้อหาด้านการรักษาความปลอดภัยของ iTunes 10.2
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านการรักษาความปลอดภัยของ iTunes 10.2
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบแบบเต็มรูปแบบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่การรักษาความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์
ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้
หากต้องการเรียนรู้เกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ โปรดดู "รายการอัปเดตความปลอดภัยของ Apple"
iTunes 10.2
ImageIO
มีให้สำหรับ: Windows 7, Vista, XP SP2 หรือใหม่กว่า
ผลกระทบ: ช่องโหว่หลายจุดใน libpng
รายละเอียด: libpng อัปเดตเป็นเวอร์ชัน 1.4.3 เพื่อแก้ไขช่องโหว่หลายจุด น่ากังวลที่สุดคืออาจนำไปสู่การดำเนินการโค้ดโดยพลการ สำหรับระบบ Mac OS X v10.5 ปัญหานี้ได้รับการแก้ไขแล้วในการอัปเดตการรักษาความปลอดภัย 2010-007 ดูข้อมูลเพิ่มเติมผ่านเว็บไซต์ libpng ที่ http://www.libpng.org/pub/png/libpng.html
CVE-ID
CVE-2010-1205
CVE-2010-2249
ImageIO
มีให้สำหรับ: Windows 7, Vista, XP SP2 หรือใหม่กว่า
ผลกระทบ: การดูภาพ JPEG ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการดำเนินการโค้ดโดยพลการ
รายละเอียด: พบปัญหาฮีปบัฟเฟอร์ล้นในการจัดการกับภาพ JPEG ของ ImageIO การดูภาพ JPEG ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการดำเนินการโค้ดโดยพลการ
CVE-ID
CVE-2011-0170 : Andrzej Dyjak ซึ่งทำงานกับ iDefense VCP
ImageIO
มีให้สำหรับ: Windows 7, Vista, XP SP2 หรือใหม่กว่า
ผลกระทบ: การดูภาพ XBM ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการดำเนินการโค้ดโดยพลการ
รายละเอียด: พบปัญหาจำนวนเต็มล้นในการจัดการกับภาพ XBM ของ ImageIO การดูภาพ XBM ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
CVE-ID
CVE-2011-0181 : Harry Sintonen
ImageIO
มีให้สำหรับ: Windows 7, Vista, XP SP2 หรือใหม่กว่า
ผลกระทบ: การดูภาพ TIFF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการดำเนินการโค้ดโดยพลการ
รายละเอียด: พบบัฟเฟอร์ล้นในการจัดการกับภาพ TIFF ที่เข้ารหัส JPEG ของ libTIFF การดูภาพ TIFF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
CVE-ID
CVE-2011-0191 : Apple
ImageIO
มีให้สำหรับ: Windows 7, Vista, XP SP2 หรือใหม่กว่า
ผลกระทบ: การดูภาพ TIFF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการดำเนินการโค้ดโดยพลการ
รายละเอียด: พบบัฟเฟอร์ล้นในการจัดการกับภาพ TIFF ที่เข้ารหัส CCITT Group 4 ของ libTIFF การดูภาพ TIFF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
CVE-ID
CVE-2011-0192 : Apple
libxml
มีให้สำหรับ: Windows 7, Vista, XP SP2 หรือใหม่กว่า
ผลกระทบ: การประมวลผลไฟล์ XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการดำเนินการโค้ดโดยพลการ
รายละเอียด: พบปัญหาช่องว่างซ้ำในการจัดการนิพจน์ XPath ของ libxml การประมวลผลไฟล์ XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการดำเนินการโค้ดโดยพลการ
CVE-ID
CVE-2010-4494 : Yang Dingning จาก NCNIPC จบการศึกษาจาก University of Chinese Academy of Sciences
libxml
มีให้สำหรับ: Windows 7, Vista, XP SP2 หรือใหม่กว่า
ผลกระทบ: การประมวลผลไฟล์ XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการดำเนินการโค้ดโดยพลการ
รายละเอียด: พบปัญหาหน่วยความจำเสียหายในการจัดการ XPath ของ libxml การประมวลผลไฟล์ XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการดำเนินการโค้ดโดยพลการ
CVE-ID
CVE-2010-4008 : Bui Quang Minh จาก Bkis (www.bkis.com)
WebKit
มีให้สำหรับ: Windows 7, Vista, XP SP2 หรือใหม่กว่า
ผลกระทบ: การโจมตีแบบ Man-in-the-Middle อาจทำให้แอปพลิเคชั่นหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายจำนวนมากใน WebKit ผลกระทบ: ภัยคุกคาม Man-in-the-middle ในขณะเรียกดู iTunes Store ผ่าน iTunes อาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสตามอำเภอใจ
CVE-ID
CVE-2010-1824 : kuzzcc และ wushi of team509 ซึ่งทำงานกับ TippingPoint's Zero Day Initiative
CVE-2011-0111 : Sergey Glazunov
CVE-2011-0112 : Yuzo Fujishima จาก Google Inc.
CVE-2011-0113 : Andreas Kling จาก Nokia
CVE-2011-0114 : Chris Evans จาก Google Chrome Security Team
CVE-2011-0115 : J23 ซึ่งทำงานกับ TippingPoint's Zero Day Initiative และ Emil A Eklund จาก Google, Inc
CVE-2011-0116 : นักวิจัยนิรนามซึ่งทำงานกับ TippingPoint's Zero Day Initiative
CVE-2011-0117 : Abhishek Arya (Inferno) จาก Google, Inc.
CVE-2011-0118 : Abhishek Arya (Inferno) จาก Google, Inc.
CVE-2011-0119 : Abhishek Arya (Inferno) จาก Google, Inc.
CVE-2011-0120 : Abhishek Arya (Inferno) จาก Google, Inc.
CVE-2011-0121 : Abhishek Arya (Inferno) จาก Google, Inc.
CVE-2011-0122 : Slawomir Blazek
CVE-2011-0123 : Abhishek Arya (Inferno) จาก Google, Inc.
CVE-2011-0124 : Yuzo Fujishima จาก Google Inc.
CVE-2011-0125 : Abhishek Arya (Inferno) จาก Google, Inc.
CVE-2011-0126 : Mihai Parparita จาก Google, Inc.
CVE-2011-0127 : Abhishek Arya (Inferno) จาก Google, Inc.
CVE-2011-0128 : David Bloom
CVE-2011-0129 : Famlam
CVE-2011-0130 : Apple
CVE-2011-0131 : wushi of team509
CVE-2011-0132 : wushi of team509 ซึ่งทำงานกับ TippingPoint's Zero Day Initiative
CVE-2011-0133 : wushi of team509 ซึ่งทำงานกับ TippingPoint's Zero Day Initiative
CVE-2011-0134 : Jan Tosovsky
CVE-2011-0135 : นักข่าวนิรนาม
CVE-2011-0136 : Sergey Glazunov
CVE-2011-0137 : Sergey Glazunov
CVE-2011-0138 : kuzzcc
CVE-2011-0139 : kuzzcc
CVE-2011-0140 : Sergey Glazunov
CVE-2011-0141 : Chris Rohlf จาก Matasano Security
CVE-2011-0142 : Abhishek Arya (Inferno) จาก Google, Inc.
CVE-2011-0143 : Slawomir Blazek และ Sergey Glazunov
CVE-2011-0144 : Emil A Eklund จาก Google, Inc.
CVE-2011-0145 : Abhishek Arya (Inferno) จาก Google, Inc.
CVE-2011-0146 : Abhishek Arya (Inferno) จาก Google, Inc.
CVE-2011-0147 : Dirk Schulze
CVE-2011-0148 : Michal Zalewski จาก Google, Inc.
CVE-2011-0149 : wushi of team509 ซึ่งทำงานกับ TippingPoint's Zero Day Initiative และ SkyLined จาก Google Chrome Security Team
CVE-2011-0150 : Michael Gundlach จาก safariadblock.com
CVE-2011-0151 : Abhishek Arya (Inferno) จาก Google, Inc.
CVE-2011-0152 : SkyLined จาก Google Chrome Security Team
CVE-2011-0153 : Abhishek Arya (Inferno) จาก Google, Inc.
CVE-2011-0154 : นักวิจัยนิรนามซึ่งทำงานกับ TippingPoint's Zero Day Initiative
CVE-2011-0155 : Aki Helin จาก OUSPG
CVE-2011-0156 : Abhishek Arya (Inferno) จาก Google, Inc.
CVE-2011-0165 : Sergey Glazunov
CVE-2011-0168 : Sergey Glazunov
สำคัญ: การอ้างอิงเว็บไซต์และผลิตภัณฑ์ของบริษัทอื่นมีจุดประสงค์เพื่อให้ข้อมูลเท่านั้น และไม่ได้เป็นการรับรองหรือแนะนำแต่อย่างใด Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของผู้ให้บริการรายอื่น Apple ให้ข้อมูลนี้เพื่อความสะดวกของลูกค้าเท่านั้น Apple ไม่ได้ตรวจสอบข้อมูลที่พบบนเว็บไซต์เหล่านี้ และไม่ได้รับรองความถูกต้องและความเชื่อถือได้ของข้อมูลดังกล่าว การใช้ข้อมูลหรือผลิตภัณฑ์ใดๆ ก็ตามบนอินเทอร์เน็ตมีความเสี่ยง และ Apple ไม่มีส่วนรับผิดชอบในเรื่องนี้ โปรดเข้าใจว่าเว็บไซต์ของบุคคลที่สามดำเนินการอย่างเป็นอิสระจาก Apple และ Apple ไม่ได้ควบคุมเนื้อหาบนเว็บไซต์ดังกล่าว โปรดติดต่อผู้จำหน่ายเพื่อสอบถามข้อมูลเพิ่มเติม