Відомості про проблеми системи безпеки, які усунено в оновленні iTunes 10.2
У цьому документі описано проблеми системи безпеки, які усунено в оновленні iTunes 10.2.
Щоб захистити клієнтів, Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки повністю не завершено вивчення відповідної проблеми та не опубліковано необхідні виправлення або нові випуски. Щоб дізнатися більше про засоби безпеки продуктів Apple, відвідайте вебсайт, присвячений безпеці продуктів Apple.
Інформацію про використання PGP-ключа безпеки продуктів Apple наведено на сторінці «Як використовувати PGP-ключ безпеки продуктів Apple».
Якщо можливо, для отримання подальшої інформації про вразливості використовуються ідентифікатори CVE.
Щоб дізнатися про інші оновлення системи безпеки, перейдіть на сторінку «Випуски безпеки Apple».
iTunes 10.2
ImageIO
Цільові продукти: Windows 7, Vista, XP SP2 або пізніших версій
Вплив: кілька вразливостей у бібліотеці libpng
Опис: бібліотеку libpng оновлено до версії 1.4.3, щоб усунути кілька вразливостей. Найсерйозніша з них може призводити до виконання довільного коду. Для систем Mac OS X 10.5 цю проблему усунено в оновленні системи безпеки 2010-007. Додаткову інформацію див. на сайті libpng за адресою http://www.libpng.org/pub/png/libpng.html
Ідентифікатор CVE
CVE-2010-1205
CVE-2010-2249
ImageIO
Цільові продукти: Windows 7, Vista, XP SP2 або пізніших версій
Вплив: перегляд шкідливого зображення JPEG може призвести до несподіваного завершення роботи програми чи виконання довільного коду.
Опис: в ImageIO виникало переповнення буфера динамічної пам’яті під час обробки зображень JPEG. Перегляд шкідливого JPEG-зображення може призводити до несподіваного завершення роботи програми або виконання довільного коду.
Ідентифікатор CVE
CVE-2011-0170: Анджей Дияк (Andrzej Dyjak), який працює за програмою iDefense VCP
ImageIO
Цільові продукти: Windows 7, Vista, XP SP2 або пізніших версій
Вплив: перегляд шкідливого зображення XBM може призвести до несподіваного завершення роботи програми чи виконання довільного коду.
Опис: в ImageIO виникала проблема з цілочисельним переповненням під час обробки зображень XBM. Перегляд шкідливого XBM-зображення може призводити до несподіваного завершення роботи програми або виконання довільного коду.
Ідентифікатор CVE
CVE-2011-0181: Гаррі Сінтонен (Harry Sintonen)
ImageIO
Цільові продукти: Windows 7, Vista, XP SP2 або пізніших версій
Вплив: перегляд шкідливого зображення TIFF може призвести до несподіваного завершення роботи програми чи виконання довільного коду.
Опис: у libTIFF виникало переповнення буфера динамічної пам’яті під час обробки TIFF-зображень із кодуванням JPEG. Перегляд шкідливого TIFF-зображення може призводити до несподіваного завершення роботи програми або виконання довільного коду.
Ідентифікатор CVE
CVE-2011-0191: Apple
ImageIO
Цільові продукти: Windows 7, Vista, XP SP2 або пізніших версій
Вплив: перегляд шкідливого TIFF-зображення може призвести до несподіваного завершення роботи програми чи виконання довільного коду.
Опис: у libTIFF виникало переповнення буфера динамічної пам’яті під час обробки TIFF-зображень із кодуванням CCITT Group 4. Перегляд шкідливого TIFF-зображення може призводити до несподіваного завершення роботи програми або виконання довільного коду.
Ідентифікатор CVE
CVE-2011-0192: Apple
libxml
Цільові продукти: Windows 7, Vista, XP SP2 або пізніших версій
Вплив: обробка шкідливого файлу XML може призвести до несподіваного завершення роботи програми чи виконання довільного коду.
Опис: у libxml виникала проблема з подвійним вивільненням під час обробки виразів XPath. Обробка шкідливого файлу XML може призвести до несподіваного завершення роботи програми чи виконання довільного коду.
Ідентифікатор CVE
CVE-2010-4494: Ян Діньнін (Yang Dingning) із NCNIPC, випускник Університету Китайської академії наук
libxml
Цільові продукти: Windows 7, Vista, XP SP2 або пізніших версій
Вплив: обробка шкідливого файлу XML може призвести до несподіваного завершення роботи програми чи виконання довільного коду.
Опис: у libxml виникала проблема з пошкодженням пам’яті під час обробки XPath. Обробка шкідливого файлу XML може призвести до несподіваного завершення роботи програми чи виконання довільного коду.
Ідентифікатор CVE
CVE-2010-4008: Bui Quang Minh (Буй Куанг Мін) із Bkis (www.bkis.com)
WebKit
Цільові продукти: Windows 7, Vista, XP SP2 або пізніших версій
Вплив: атака типу «людина посередині» може призвести до несподіваного завершення роботи програми або виконання довільного коду.
Опис: у WebKit виникали проблеми з пошкодженням пам’яті. Атака типу «людина посередині»під час перегляду iTunes Store через iTunes може призвести до несподіваного завершення роботи програми або виконання довільного коду.
Ідентифікатор CVE
CVE-2010-1824: користувач kuzzcc і користувач wushi з team509, які співпрацюють із компанією TippingPoint у межах ініціативи Zero Day Initiative
CVE-2011-0111: Сергій Глазунов (Sergey Glazunov)
CVE-2011-0112: Юдзо Фудзісіма (Yuzo Fujishima) з Google Inc.
CVE-2011-0113: Андреас Клінґ (Andreas Kling) із Nokia
CVE-2011-0114: Кріс Еванс (Chris Evans) із Google Chrome Security Team
CVE-2011-0115: користувач J23, які співпрацює з компанією TippingPoint у межах ініціативи Zero Day Initiative, і Еміль Еклунд (Emil A Eklund) із Google, Inc
CVE-2011-0116: анонімний дослідник, який співпрацює з компанією TippingPoint у межах ініціативи Zero Day Initiative
CVE-2011-0117: Абхішек Ар’я (Abhishek Arya, Inferno) з Google, Inc.
CVE-2011-0118: Абхішек Ар’я (Abhishek Arya, Inferno) з Google, Inc.
CVE-2011-0119: Абхішек Ар’я (Abhishek Arya, Inferno) з Google, Inc.
CVE-2011-0120: Абхішек Ар’я (Abhishek Arya, Inferno) з Google, Inc.
CVE-2011-0121: Абхішек Ар’я (Abhishek Arya, Inferno) з Google, Inc.
CVE-2011-0122: Славомір Блажек (Slawomir Blazek)
CVE-2011-0123: Абхішек Ар’я (Abhishek Arya, Inferno) з Google, Inc.
CVE-2011-0124: Юдзо Фудзісіма (Yuzo Fujishima) з Google Inc.
CVE-2011-0125: Абхішек Ар’я (Abhishek Arya, Inferno) з Google, Inc.
CVE-2011-0126: Міхай Парпаріта (Mihai Parparita) з Google, Inc.
CVE-2011-0127: Абхішек Ар’я (Abhishek Arya, Inferno) з Google, Inc.
CVE-2011-0128: Девід Блум (David Bloom)
CVE-2011-0129: користувач Famlam
CVE-2011-0130: Apple
CVE-2011-0131: користувач wushi з team509
CVE-2011-0132: користувач wushi з team509, який співпрацює з компанією TippingPoint у межах ініціативи Zero Day Initiative
CVE-2011-0133: користувач wushi з team509, який співпрацює з компанією TippingPoint у межах ініціативи Zero Day Initiative
CVE-2011-0134: Ян Тосовський (Jan Tosovsky)
CVE-2011-0135: анонімний доповідач
CVE-2011-0136: Сергій Глазунов (Sergey Glazunov)
CVE-2011-0137: Сергій Глазунов (Sergey Glazunov)
CVE-2011-0138: користувач kuzzcc
CVE-2011-0139: користувач kuzzcc
CVE-2011-0140: Сергій Глазунов (Sergey Glazunov)
CVE-2011-0141: Кріс Ролф (Chris Rohlf) із Matasano Security
CVE-2011-0142: Абхішек Ар’я (Abhishek Arya, Inferno) з Google, Inc.
CVE-2011-0143: Славомір Блажек (Slawomir Blazek) і Сергій Глазунов (Sergey Glazunov)
CVE-2011-0144: Еміль Еклунд (Emil A Eklund) із Google, Inc.
CVE-2011-0145: Абхішек Ар’я (Abhishek Arya, Inferno) з Google, Inc.
CVE-2011-0146: Абхішек Ар’я (Abhishek Arya, Inferno) з Google, Inc.
CVE-2011-0147: Дірк Шульце (Dirk Schulze)
CVE-2011-0148: Міхал Залевський (Michal Zalewski) з Google, Inc.
CVE-2011-0149: користувач wushi з team509, який співпрацює з компанією TippingPoint у межах ініціативи Zero Day Initiative, і користувач SkyLined з Google Chrome Security Team
CVE-2011-0150: Міхаель Гундлах (Michael Gundlach) із safariadblock.com
CVE-2011-0151: Абхішек Ар’я (Abhishek Arya, Inferno) з Google, Inc.
CVE-2011-0152: користувач SkyLined із Google Chrome Security Team
CVE-2011-0153: Абхішек Ар’я (Abhishek Arya, Inferno) з Google, Inc.
CVE-2011-0154: анонімний дослідник, який співпрацює з компанією TippingPoint у межах ініціативи Zero Day Initiative
CVE-2011-0155 : Акі Хелін (Aki Helin) з OUSPG
CVE-2011-0156: Абхішек Ар’я (Abhishek Arya, Inferno) з Google, Inc.
CVE-2011-0165: Сергій Глазунов (Sergey Glazunov)
CVE-2011-0168: Сергій Глазунов (Sergey Glazunov)
Важливо. Згадування сторонніх вебсайтів і продуктів призначене лише для інформаційних цілей та не є ні заявою про підтримку, ні рекомендацією. Apple не несе відповідальності за вибір, продуктивність чи використання інформації або продуктів зі сторонніх вебсайтів. Apple надає цю інформацію лише для зручності наших користувачів. Компанія Apple не перевіряла інформацію, знайдену на цих вебсайтах, і не робить жодних заяв щодо її точності або надійності. Використання будь-якої інформації або продуктів, знайдених в інтернеті, пов’язане з ризиком, і Apple не несе жодної відповідальності щодо цього. Пам’ятайте, що сторонній вебсайт існує незалежно від Apple, і Apple не контролює вміст такого вебсайту. Зв’яжіться з постачальником послуг, щоб отримати додаткову інформацію.
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.