เกี่ยวกับเนื้อหาด้านการรักษาความปลอดภัยของ iTunes 10.5

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านการรักษาความปลอดภัยของ iTunes 10.5

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบแบบเต็มรูปแบบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่หน้าเว็บไซต์การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ได้ที่วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้

ดูเกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ ได้ที่รายการอัปเดตความปลอดภัยของ Apple

iTunes 10.5

  • CoreFoundation

    มีให้สำหรับ: Windows 7, Vista, XP SP2 ขึ้นไป

    ผลกระทบ: การโจมตีในลักษณะคนกลางอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือการดำเนินการโค้ดโดยพลการ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการจัดการโทเค็นไนซ์สตริง ปัญหานี้ไม่มีผลกระทบกับระบบ OS X Lion สำหรับระบบ Mac OS X v10.6 ปัญหานี้ได้รับการแก้ไขแล้วใน Mac OS X 10.6.7

    CVE-ID

    CVE-2011-0259 : Apple

  • ColorSync

    มีให้สำหรับ: Windows 7, Vista, XP SP2 ขึ้นไป

    ผลกระทบ: การดูภาพที่ออกมาแบบมาเพื่อประสงค์ร้ายซึ่งมีโปรไฟล์ ColorSync ฝังอยู่อาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือการดำเนินการโค้ดโดยพลการ

    รายละเอียด: มีการล้นของจำนวนเต็มในการจัดการภาพที่มีโปรไฟล์ ColorSync ฝังตัวอยู่ ซึ่งอาจทำให้บัฟเฟอร์ล้นแบบพอกพูน การเปิดภาพที่ออกแบบมาเพื่อประสงค์ร้ายซึ่งมีโปรไฟล์ ColorSync แบบฝังอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ ปัญหานี้ไม่มีผลกระทบกับระบบ OS X Lion

    CVE-ID

    CVE-2011-0200 : binaryproof ซึ่งทำงานกับ TippingPoint's Zero Day Initiative

  • CoreAudio

    มีให้สำหรับ: Windows 7, Vista, XP SP2 ขึ้นไป

    ผลกระทบ: การเล่นเนื้อหาเสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือการดำเนินการโค้ดโดยพลการ

    รายละเอียด: พบบัฟเฟอร์ล้นในการจัดการสตรีมเสียงที่เข้ารหัสด้วยโค้ดเสียงขั้นสูง ปัญหานี้ไม่มีผลกระทบกับระบบ OS X Lion

    CVE-ID

    CVE-2011-3252 : Luigi Auriemma ซึ่งทำงานร่วมกับ Zero Day Initiative ของ TippingPoint

  • CoreMedia

    มีให้สำหรับ: Windows 7, Vista, XP SP2 ขึ้นไป

    ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้โค้ดโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นในการจัดการไฟล์ภาพยนตร์ที่เข้ารหัส H.264 สำหรับระบบ OS X Lion ปัญหานี้ได้รับการแก้ไขแล้วใน OS X Lion v10.7.2 และสำหรับระบบ Mac OS X v10.6 ปัญหานี้ได้รับการแก้ไขแล้วในรายการอัปเดตความปลอดภัย 2011-006

    CVE-ID

    CVE-2011-3219 : Damian Put ซึ่งทำงานร่วมกับ Zero Day Initiative ของ TippingPoint.

  • ImageIO

    มีให้สำหรับ: Windows 7, Vista, XP SP2 ขึ้นไป

    ผลกระทบ: การดูภาพ TIFF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: มีบัฟเฟอร์ล้นแบบพอกพูนในการจัดการภาพ TIFF ของ ImageIO ปัญหานี้ไม่มีผลกระทบกับระบบ OS X Lion สำหรับระบบ Mac OS X v10.6 ปัญหานี้ได้รับการแก้ไขใน Mac OS X v10.6.8

    CVE-ID

    CVE-2011-0204 : Dominic Chell จาก NGS Secure

  • ImageIO

    มีให้สำหรับ: Windows 7, Vista, XP SP2 ขึ้นไป

    ผลกระทบ: การดูภาพ TIFF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    รายละเอียด: พบปัญหา ReEntrancy ในการจัดการภาพ TIFF ของ ImageIO แต่ปัญหานี้ไม่ส่งผลกระทบต่อระบบ Mac OS X

    CVE-ID

    CVE-2011-0215 : Juan Pablo Lopez Yacubian ซึ่งทำงานกับ iDefense VCP

  • WebKit

    มีให้สำหรับ: Windows 7, Vista, XP SP2 ขึ้นไป

    ผลกระทบ: การโจมตีในลักษณะคนกลางขณะเลือกดูใน iTunes Store ผ่าน iTunes อาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการดำเนินการโค้ดโดยพลการ

    คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำใน WebKit

    CVE-ID

    CVE-2010-1823 : David Weston จาก Microsoft and Microsoft Vulnerability Research (MSVR), wushi of team509 และ Yong Li จาก Research In Motion Ltd.

    CVE-2011-0164 : Apple

    CVE-2011-0218 : SkyLined จาก Google Chrome Security Team

    CVE-2011-0221 : Abhishek Arya (Inferno) จาก Google Chrome Security Team

    CVE-2011-0222 : Nikita Tarakanov และ Alex Bazhanyuk จาก CISS Research Team และ Abhishek Arya (Inferno) จาก Google Chrome Security Team

    CVE-2011-0223 : Jose A. Vazquez จาก spa-s3c.blogspot.com ซึ่งทำงานกับ iDefense VCP

    CVE-2011-0225 : Abhishek Arya (Inferno) จาก Google Chrome Security Team

    CVE-2011-0232: J23 ซึ่งทำงานร่วมกับ Zero Day Initiative ของ TippingPoint

    CVE-2011-0233: wushi of team509 ซึ่งทำงานร่วมกับ Zero Day Initiative ของ TippingPoint

    CVE-2011-0234 : Rob King ซึ่งทำงานร่วมกับ Zero Day Initiative ของ TippingPoint, wushi of team509 ซึ่งทำงานร่วมกับ Zero Day Initiative ของ TippingPoint, wushi of team509 ซึ่งทำงานร่วมกับ iDefense VCP

    CVE-2011-0235 : Abhishek Arya (Inferno) จาก Google Chrome Security Team

    CVE-2011-0237 : wushi of team509 ซึ่งทำงานร่วมกับ iDefense VCP

    CVE-2011-0238 : Adam Barth จาก Google Chrome Security Team

    CVE-2011-0240 : wushi of team509 ซึ่งทำงานร่วมกับ iDefense VCP

    CVE-2011-0253 : Richard Keen

    CVE-2011-0254 : นักวิจัยนิรนามซึ่งทำงานร่วมกับ Zero Day Initiative ของ TippingPoint

    CVE-2011-0255 : นักวิจัยนิรนามซึ่งทำงานร่วมกับ Zero Day Initiative ของ TippingPoint

    CVE-2011-0981 : Rik Cabanier จาก Adobe Systems, Inc.

    CVE-2011-0983 : Martin Barbella

    CVE-2011-1109 : Sergey Glazunov

    CVE-2011-1114 : Martin Barbella

    CVE-2011-1115 : Martin Barbella

    CVE-2011-1117 : wushi of team509

    CVE-2011-1121 : miaubiz

    CVE-2011-1188 : Martin Barbella

    CVE-2011-1203 : Sergey Glazunov

    CVE-2011-1204 : Sergey Glazunov

    CVE-2011-1288 : Andreas Kling จาก Nokia

    CVE-2011-1293 : Sergey Glazunov

    CVE-2011-1296 : Sergey Glazunov

    CVE-2011-1440 : Jose A. Vazquez จาก spa-s3c.blogspot.com

    CVE-2011-1449 : Marek Majkowski

    CVE-2011-1451 : Sergey Glazunov

    CVE-2011-1453: wushi of team509 ซึ่งทำงานร่วมกับ Zero Day Initiative ของ TippingPoint

    CVE-2011-1457 : John Knottenbelt จาก Google

    CVE-2011-1462 : wushi of team509

    CVE-2011-1797 : wushi of team509

    CVE-2011-2338 : Abhishek Arya (Inferno) จาก Google Chrome Security Team ที่ใช้ AddressSanitizer

    CVE-2011-2339 : Cris Neckar จาก Google Chrome Security Team

    CVE-2011-2341 : Apple

    CVE-2011-2351 : miaubiz

    CVE-2011-2352 : Apple

    CVE-2011-2354 : Apple

    CVE-2011-2356 : Adam Barth และ Abhishek Arya จาก Google Chrome Security Team ที่ใช้ AddressSanitizer

    CVE-2011-2359 : miaubiz

    CVE-2011-2788 : Mikolaj Malecki จาก Samsung

    CVE-2011-2790 : miaubiz

    CVE-2011-2792 : miaubiz

    CVE-2011-2797 : miaubiz

    CVE-2011-2799 : miaubiz

    CVE-2011-2809 : Abhishek Arya (Inferno) จาก Google Chrome Security Team

    CVE-2011-2811 : Apple

    CVE-2011-2813 : Cris Neckar จาก Google Chrome Security Team ที่ใช้ AddressSanitizer

    CVE-2011-2814 : Abhishek Arya (Inferno) จาก Google Chrome Security Team ที่ใช้ AddressSanitizer

    CVE-2011-2815 : SkyLined จาก Google Chrome Security Team

    CVE-2011-2816 : Apple

    CVE-2011-2817 : Abhishek Arya (Inferno) จาก Google Chrome Security Team ที่ใช้ AddressSanitizer

    CVE-2011-2818 : Martin Barbella

    CVE-2011-2820 : Raman Tenneti และ Philip Rogers จาก Google

    CVE-2011-2823 : SkyLined จาก Google Chrome Security Team

    CVE-2011-2827 : miaubiz

    CVE-2011-2831 : Abhishek Arya (Inferno) จาก Google Chrome Security Team ที่ใช้ AddressSanitizer

    CVE-2011-3232 : Aki Helin จาก OUSPG

    CVE-2011-3233 : Sadrul Habib Chowdhury จากชุมชนการพัฒนา Chromium, Cris Neckar และ Abhishek Arya (Inferno) จาก Google Chrome Security Team

    CVE-2011-3234 : miaubiz

    CVE-2011-3235 : Dimitri Glazkov, Kent Tamura, Dominic Cooney จากชุมชนการพัฒนา Chromium และ Abhishek Arya (Inferno) จาก Google Chrome Security Team

    CVE-2011-3236 : Abhishek Arya (Inferno) จาก Google Chrome Security Team ที่ใช้ AddressSanitizer

    CVE-2011-3237 : Dimitri Glazkov, Kent Tamura, Dominic Cooney จากชุมชนการพัฒนา Chromium และ Abhishek Arya (Inferno) จาก Google Chrome Security Team

    CVE-2011-3238 : Martin Barbella

    CVE-2011-3239 : Slawomir Blazek

    CVE-2011-3241 : Apple

    CVE-2011-3244 : vkouchna

  • WebKit

    มีให้สำหรับ: Windows 7, Vista, XP SP2 ขึ้นไป

    ผลกระทบ: การโจมตีในลักษณะคนกลางอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือการดำเนินการโค้ดโดยพลการ

    รายละเอียด: มีปัญหาการกำหนดค่าในการใช้ libxslt ของ WebKit การโจมตีในลักษณะคนกลางขณะเลือกดูใน iTunes Store ผ่าน iTunes อาจทำให้เกิดการสร้างไฟล์โดยพลการพร้อมการมีสิทธิ์ของผู้ใช้ ซึ่งอาจนำไปสู่การดำเนินการโค้ดโดยพลการ ปัญหานี้ได้รับการแก้ไขผ่านการตั้งค่าความปลอดภัย libxslt ที่ปรับปรุงดีขึ้น

    CVE-ID

    CVE-2011-1774 : Nicolas Gregoire จาก Agarri

สำคัญ: การอ้างอิงเว็บไซต์และผลิตภัณฑ์ของบริษัทอื่นมีจุดประสงค์เพื่อให้ข้อมูลเท่านั้น และไม่ได้เป็นการรับรองหรือแนะนำแต่อย่างใด Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของผู้ให้บริการรายอื่น Apple ให้ข้อมูลนี้เพื่อความสะดวกของลูกค้าเท่านั้น Apple ไม่ได้ตรวจสอบข้อมูลที่พบบนเว็บไซต์เหล่านี้ และไม่ได้รับรองความถูกต้องและความเชื่อถือได้ของข้อมูลดังกล่าว การใช้ข้อมูลหรือผลิตภัณฑ์ใดๆ ก็ตามบนอินเทอร์เน็ตมีความเสี่ยง และ Apple ไม่มีส่วนรับผิดชอบในเรื่องนี้ โปรดเข้าใจว่าเว็บไซต์ของบุคคลที่สามดำเนินการอย่างเป็นอิสระจาก Apple และ Apple ไม่ได้ควบคุมเนื้อหาบนเว็บไซต์ดังกล่าว โปรดติดต่อผู้จำหน่ายเพื่อสอบถามข้อมูลเพิ่มเติม

วันที่เผยแพร่: