iTunes 10.5'in güvenlik içeriği hakkında
Bu belgede iTunes 10.5'in güvenlik içeriği açıklanmaktadır.
Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.
Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Diğer Güvenlik Güncellemeleri hakkında bilgi edinmek için Apple Güvenlik Güncellemeleri
iTunes 10.5
CoreFoundation
İlgili sürümler: Windows 7, Vista, XP SP2 veya sonraki sürümler.
Etki: Bir ortadaki adam saldırısı, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.
Açıklama: Dize belirtecinin işlenmesinde bir bellek bozulması sorunu vardı. OS X Lion sistemleri bu sorundan etkilenmez. Bu sorun, Mac OS X v10.6 sistemlerinde Güvenlik Güncellemesi 2011-006'da giderilmiştir.
CVE-ID
CVE-2011-0259 : Apple.
ColorSync
İlgili sürümler: Windows 7, Vista, XP SP2 veya sonraki sürümler.
Etki: Kötü amaçlarla oluşturulmuş bir resmi gömülü ColorSync profiliyle görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir.
Açıklama: Gömülü ColorSync profili olan resimlerin işlenmesinde yığın arabelleğin taşmasına neden olabilecek bir tamsayı taşması vardı. Kötü amaçlarla oluşturulmuş gömülü ColorSync profiline sahip bir resmi açmak, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir. OS X Lion sistemleri bu sorundan etkilenmez.
CVE-ID
CVE-2011-0200: TippingPoint Zero Day Initiative ile çalışan binaryproof.
CoreAudio
İlgili sürümler: Windows 7, Vista, XP SP2 veya sonraki sürümler.
Etki: Kötü amaçlarla oluşturulmuş ses içeriğinin oynatılması, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.
Açıklama: Gelişmiş ses koduyla kodlanmış ses akışlarının işlenmesinde bir arabellek taşması sorunu vardı. OS X Lion sistemleri bu sorundan etkilenmez.
CVE-ID
CVE-2011-3428: TippingPoint'in Zero Day Initiative programı ile çalışan Luigi Auriemma.
CoreMedia
İlgili sürümler: Windows 7, Vista, XP SP2 veya sonraki sürümler.
Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.
Açıklama: H.264 kodlu film dosyalarının işlenmesinde arabellek taşması sorunu vardı. Bu sorun, OS X Lion sistemlerinde OS X Lion v10.7.2 sürümünde ve Mac OS X v10.6 sistemlerinde, Güvenlik Güncellemesi 2011-006'da giderilmiştir.
CVE-ID
CVE-2011-3219: TippingPoint'in Zero Day Initiative programı ile çalışan Damian Put.
ImageIO
İlgili sürümler: Windows 7, Vista, XP SP2 veya sonraki sürümler.
Etki: Kötü amaçlarla oluşturulmuş bir TIFF resmini görüntülemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.
Açıklama: ImageIO'nun TIFF resimlerini işlemesinde bir yığın arabellek taşması vardı. OS X Lion sistemleri bu sorundan etkilenmez. Mac OS X v10.6 sistemleri için bu sorun Mac OS X v10.6.8 sürümünde çözülmüştür
CVE-ID
CVE-2011-0204 : NGS Secure'dan Dominic Chell.
ImageIO
İlgili sürümler: Windows 7, Vista, XP SP2 veya sonraki sürümler.
Etki: Kötü amaçlarla oluşturulmuş bir TIFF resmini görüntülemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.
Açıklama: ImageIO'nun TIFF görüntülerini işlemesinde bir yeniden giriş sorunu vardı. Bu sorun, Mac OS X sistemlerini etkilemez.
CVE-ID
CVE-2011-0215 : iDefense VCP ile çalışan Juan Pablo Lopez Yacubian.
iTunes
İlgili sürümler: Windows 7, Vista, XP SP2 veya sonraki sürümler
Etki: iTunes üzerinden iTunes Store'da gezinirken bir ortadaki adam saldırısı, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.
Açıklama: WebKit'te birden fazla bellek bozulması sorunu vardı.
CVE-ID
CVE-2010-1823 : Microsoft ve Microsoft Vulnerability Research'ten (MSVR) David Weston, team509'dan wushi ve Research In Motion Ltd. şirketinden Yong Li
CVE-2011-0164 : Apple.
CVE-2011-0218 : Google Chrome Güvenlik Ekibi'nden SkyLined.
CVE-2011-0221 : Google Chrome Güvenlik Ekibi'nden Abhishek Arya (Inferno)
CVE-2011-0222 : CISS Research Team'den Nikita Tarakanov ve Alex Bazhanyuk, Google Chrome Güvenlik Ekibi'nden Abhishek Arya (Inferno).
CVE-2011-0223 : iDefense VCP ile çalışan, spa-s3c.blogspot.com'dan Jose A. Vazquez.
CVE-2011-0225 : Google Chrome Güvenlik Ekibi'nden Abhishek Arya (Inferno)
CVE-2011-0232: J23 (TippingPoint'in Zero Day Initiative programıyla).
CVE-2011-0233: team509'dan wushi (TippingPoint'in Zero Day Initiative programıyla).
CVE-2011-0234 : Rob King (TippingPoint'in Zero Day Initiative programıyla), team509'dan wushi (TippingPoint'in Zero Day Initiative programıyla), team509'dan wushi (iDefense VCP programıyla).
CVE-2011-0235 : Google Chrome Güvenlik Ekibi'nden Abhishek Arya (Inferno)
CVE-2011-0237 : team509'dan wushi (iDefense VCP programıyla).
CVE-2011-0238 : Google Chrome Güvenlik Ekibi'nden Adam Barth.
CVE-2011-0240 : team509'dan wushi (iDefense VCP programıyla).
CVE-2011-0253 : Richard Keen.
CVE-2011-0254: TippingPoint'in Zero Day Initiative programıyla çalışan anonim bir araştırmacı.
CVE-2011-0255: TippingPoint'in Zero Day Initiative programıyla çalışan anonim bir araştırmacı.
CVE-2011-0981 : Adobe Systems, Inc. şirketinden Rik Cabanier
CVE-2011-0983 : Martin Barbella.
CVE-2011-1109 : Sergey Glazunov.
CVE-2011-1114 : Martin Barbella.
CVE-2011-1115 : Martin Barbella.
CVE-2011-1117 : team509'dan wushi.
CVE-2011-1121 : miaubiz.
CVE-2011-1188 : Martin Barbella.
CVE-2011-1203 : Sergey Glazunov.
CVE-2011-1204 : Sergey Glazunov.
CVE-2011-1288 : Nokia'dan Andreas Kling.
CVE-2011-1293 : Sergey Glazunov.
CVE-2011-1296 : Sergey Glazunov.
CVE-2011-1440 : spa-s3c.blogspot.com'dan Jose A. Vazquez.
CVE-2011-1449 : Marek Majkowski.
CVE-2011-1451 : Sergey Glazunov.
CVE-2011-1453: team509'dan wushi (TippingPoint'in Zero Day Initiative programıyla).
CVE-2011-1457 : Google'dan John Knottenbelt.
CVE-2011-1462 : team509'dan wushi.
CVE-2011-1797 : team509'dan wushi.
CVE-2011-2338 : Google Chrome Güvenlik Ekibi'nden Abhishek Arya (Inferno) (AddressSanitizer ile).
CVE-2011-2339: Google Chrome Güvenlik Ekibi'nden Chris Evans.
CVE-2011-2341 : Apple.
CVE-2011-2351 : miaubiz.
CVE-2011-2352 : Apple.
CVE-2011-2354 : Apple.
CVE-2011-2356 : Google Chrome Güvenlik Ekibi'nden Adam Barth ve Abhishek Arya (AddressSanitizer ile).
CVE-2011-2359 : miaubiz.
CVE-2011-2788 : Samsung'dan Mikolaj Malecki.
CVE-2011-2790 : miaubiz.
CVE-2011-2792 : miaubiz.
CVE-2011-2797 : miaubiz.
CVE-2011-2799 : miaubiz.
CVE-2011-2809 : Google Chrome Güvenlik Ekibi'nden Abhishek Arya (Inferno)
CVE-2011-2811 : Apple.
CVE-2011-2813 : Google Chrome Güvenlik Ekibi'nden Cris Neckar (AddressSanitizer ile).
CVE-2011-2814 : Google Chrome Güvenlik Ekibi'nden Abhishek Arya (Inferno) (AddressSanitizer ile).
CVE-2011-2815 : Google Chrome Güvenlik Ekibi'nden SkyLined.
CVE-2011-2816 : Apple.
CVE-2011-2817 : Google Chrome Güvenlik Ekibi'nden Abhishek Arya (Inferno) (AddressSanitizer ile).
CVE-2011-2818 : Martin Barbella.
CVE-2011-2820 : Google'dan Raman Tenneti ve Philip Rogers.
CVE-2011-2823 : Google Chrome Güvenlik Ekibi'nden SkyLined.
CVE-2011-2827 : miaubiz.
CVE-2011-2831 : Google Chrome Güvenlik Ekibi'nden Abhishek Arya (Inferno) (AddressSanitizer ile).
CVE-2011-3232 : Aki Helin of OUSPG.
CVE-2011-3233 : Chromium geliştirme topluluğundan Sadrul Habib Chowdhury, Google Chrome Güvenlik Ekibi'nden Cris Neckar ve Abhishek Arya (Inferno).
CVE-2011-3234 : miaubiz.
CVE-2011-3235 : Chromium geliştirme topluluğundan Dimitri Glazkov, Kent Tamura, Dominic Cooney ve Google Chrome Güvenlik Ekibi'nden Abhishek Arya (Inferno).
CVE-2011-3236 : Google Chrome Güvenlik Ekibi'nden Abhishek Arya (Inferno) (AddressSanitizer ile).
CVE-2011-3237 : Chromium geliştirme topluluğundan Dimitri Glazkov, Kent Tamura, Dominic Cooney ve Google Chrome Güvenlik Ekibi'nden Abhishek Arya (Inferno).
CVE-2011-3238 : Martin Barbella.
CVE-2011-3239 : Slawomir Blazek.
CVE-2011-3241 : Apple.
CVE-2011-3244 : vkouchna.
WebKit
İlgili sürümler: Windows 7, Vista, XP SP2 veya sonraki sürümler.
Etki: Bir ortadaki adam saldırısı, rastgele kod yürütülmesine neden olabilir.
Açıklama: WebKit'in libxslt kullanımında konfigürasyon sorunu vardı. iTunes ile iTunes Store'da gezinirken gerçekleştirilen bir ortadaki adam saldırısı, kullanıcının ayrıcalıklarıyla rastgele dosya oluşturulmasına ve sonuçta rastgele kod yürütülmesine neden olabilir. İyileştirilmiş libxslt güvenli ayarlarıyla bu sorun giderildi.
CVE-ID
CVE-2011-1774 : Agarri'den Nicolas Gregoire.
Önemli: Üçüncü taraf web siteleri ve ürünlerinden yalnızca bilgi vermek amacıyla bahsedilmektedir ve bu herhangi bir onay veya öneri niteliği taşımaz. Apple, üçüncü taraf web sitelerinde bulunan ürünlerin seçilmesi, performansı veya kullanılması ya da bu sitelerde yer alan bilgilerin kullanılması konusunda hiçbir sorumluluk kabul etmez. Apple, bu bilgileri yalnızca kullanıcılarına kolaylık sağlamak amacıyla sunmaktadır. Apple, bu sitelerde bulunan bilgileri test etmemiştir ve bunların doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. İnternette bulunan herhangi bir bilgi veya ürünün kullanılması çeşitli riskler içerir ve Apple bu konuda hiçbir sorumluluk üstlenmez. Lütfen üçüncü taraf web sitelerinin Apple'dan bağımsız olduğunu ve Apple'ın bu sitelerdeki içerik üzerinde hiçbir denetimi olmadığını unutmayın. Ek bilgi için lütfen tedarikçiyle irtibata geçin.