Відомості про проблеми системи безпеки, які усунено в оновленні iTunes 10.2

У цьому документі описано проблеми системи безпеки, які усунено в оновленні iTunes 10.2.

Щоб захистити клієнтів, Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки повністю не завершено вивчення відповідної проблеми та не опубліковано необхідні виправлення або нові випуски. Щоб дізнатися більше про засоби безпеки продуктів Apple, відвідайте вебсайт, присвячений безпеці продуктів Apple.

Інформацію про використання PGP-ключа безпеки продуктів Apple наведено на сторінці «Як використовувати PGP-ключ безпеки продуктів Apple».

Якщо можливо, для отримання подальшої інформації про вразливості використовуються ідентифікатори CVE.

Щоб дізнатися про інші оновлення системи безпеки, перейдіть на сторінку «Випуски безпеки Apple».

iTunes 10.2

  • ImageIO

    Цільові продукти: Windows 7, Vista, XP SP2 або пізніших версій

    Вплив: кілька вразливостей у бібліотеці libpng

    Опис: бібліотеку libpng оновлено до версії 1.4.3, щоб усунути кілька вразливостей. Найсерйозніша з них може призводити до виконання довільного коду. Для систем Mac OS X 10.5 цю проблему усунено в оновленні системи безпеки 2010-007. Додаткову інформацію див. на сайті libpng за адресою http://www.libpng.org/pub/png/libpng.html

    Ідентифікатор CVE

    CVE-2010-1205

    CVE-2010-2249

  • ImageIO

    Цільові продукти: Windows 7, Vista, XP SP2 або пізніших версій

    Вплив: перегляд шкідливого зображення JPEG може призвести до несподіваного завершення роботи програми чи виконання довільного коду.

    Опис: в ImageIO виникало переповнення буфера динамічної пам’яті під час обробки зображень JPEG. Перегляд шкідливого JPEG-зображення може призводити до несподіваного завершення роботи програми або виконання довільного коду.

    Ідентифікатор CVE

    CVE-2011-0170: Анджей Дияк (Andrzej Dyjak), який працює за програмою iDefense VCP

  • ImageIO

    Цільові продукти: Windows 7, Vista, XP SP2 або пізніших версій

    Вплив: перегляд шкідливого зображення XBM може призвести до несподіваного завершення роботи програми чи виконання довільного коду.

    Опис: в ImageIO виникала проблема з цілочисельним переповненням під час обробки зображень XBM. Перегляд шкідливого XBM-зображення може призводити до несподіваного завершення роботи програми або виконання довільного коду.

    Ідентифікатор CVE

    CVE-2011-0181: Гаррі Сінтонен (Harry Sintonen)

  • ImageIO

    Цільові продукти: Windows 7, Vista, XP SP2 або пізніших версій

    Вплив: перегляд шкідливого зображення TIFF може призвести до несподіваного завершення роботи програми чи виконання довільного коду.

    Опис: у libTIFF виникало переповнення буфера динамічної пам’яті під час обробки TIFF-зображень із кодуванням JPEG. Перегляд шкідливого TIFF-зображення може призводити до несподіваного завершення роботи програми або виконання довільного коду.

    Ідентифікатор CVE

    CVE-2011-0191: Apple

  • ImageIO

    Цільові продукти: Windows 7, Vista, XP SP2 або пізніших версій

    Вплив: перегляд шкідливого TIFF-зображення може призвести до несподіваного завершення роботи програми чи виконання довільного коду.

    Опис: у libTIFF виникало переповнення буфера динамічної пам’яті під час обробки TIFF-зображень із кодуванням CCITT Group 4. Перегляд шкідливого TIFF-зображення може призводити до несподіваного завершення роботи програми або виконання довільного коду.

    Ідентифікатор CVE

    CVE-2011-0192: Apple

  • libxml

    Цільові продукти: Windows 7, Vista, XP SP2 або пізніших версій

    Вплив: обробка шкідливого файлу XML може призвести до несподіваного завершення роботи програми чи виконання довільного коду.

    Опис: у libxml виникала проблема з подвійним вивільненням під час обробки виразів XPath. Обробка шкідливого файлу XML може призвести до несподіваного завершення роботи програми чи виконання довільного коду.

    Ідентифікатор CVE

    CVE-2010-4494: Ян Діньнін (Yang Dingning) із NCNIPC, випускник Університету Китайської академії наук

  • libxml

    Цільові продукти: Windows 7, Vista, XP SP2 або пізніших версій

    Вплив: обробка шкідливого файлу XML може призвести до несподіваного завершення роботи програми чи виконання довільного коду.

    Опис: у libxml виникала проблема з пошкодженням пам’яті під час обробки XPath. Обробка шкідливого файлу XML може призвести до несподіваного завершення роботи програми чи виконання довільного коду.

    Ідентифікатор CVE

    CVE-2010-4008: Bui Quang Minh (Буй Куанг Мін) із Bkis (www.bkis.com)

  • WebKit

    Цільові продукти: Windows 7, Vista, XP SP2 або пізніших версій

    Вплив: атака типу «людина посередині» може призвести до несподіваного завершення роботи програми або виконання довільного коду.

    Опис: у WebKit виникали проблеми з пошкодженням пам’яті. Атака типу «людина посередині»під час перегляду iTunes Store через iTunes може призвести до несподіваного завершення роботи програми або виконання довільного коду.

    Ідентифікатор CVE

    CVE-2010-1824: користувач kuzzcc і користувач wushi з team509, які співпрацюють із компанією TippingPoint у межах ініціативи Zero Day Initiative

    CVE-2011-0111: Сергій Глазунов (Sergey Glazunov)

    CVE-2011-0112: Юдзо Фудзісіма (Yuzo Fujishima) з Google Inc.

    CVE-2011-0113: Андреас Клінґ (Andreas Kling) із Nokia

    CVE-2011-0114: Кріс Еванс (Chris Evans) із Google Chrome Security Team

    CVE-2011-0115: користувач J23, які співпрацює з компанією TippingPoint у межах ініціативи Zero Day Initiative, і Еміль Еклунд (Emil A Eklund) із Google, Inc

    CVE-2011-0116: анонімний дослідник, який співпрацює з компанією TippingPoint у межах ініціативи Zero Day Initiative

    CVE-2011-0117: Абхішек Ар’я (Abhishek Arya, Inferno) з Google, Inc.

    CVE-2011-0118: Абхішек Ар’я (Abhishek Arya, Inferno) з Google, Inc.

    CVE-2011-0119: Абхішек Ар’я (Abhishek Arya, Inferno) з Google, Inc.

    CVE-2011-0120: Абхішек Ар’я (Abhishek Arya, Inferno) з Google, Inc.

    CVE-2011-0121: Абхішек Ар’я (Abhishek Arya, Inferno) з Google, Inc.

    CVE-2011-0122: Славомір Блажек (Slawomir Blazek)

    CVE-2011-0123: Абхішек Ар’я (Abhishek Arya, Inferno) з Google, Inc.

    CVE-2011-0124: Юдзо Фудзісіма (Yuzo Fujishima) з Google Inc.

    CVE-2011-0125: Абхішек Ар’я (Abhishek Arya, Inferno) з Google, Inc.

    CVE-2011-0126: Міхай Парпаріта (Mihai Parparita) з Google, Inc.

    CVE-2011-0127: Абхішек Ар’я (Abhishek Arya, Inferno) з Google, Inc.

    CVE-2011-0128: Девід Блум (David Bloom)

    CVE-2011-0129: користувач Famlam

    CVE-2011-0130: Apple

    CVE-2011-0131: користувач wushi з team509

    CVE-2011-0132: користувач wushi з team509, який співпрацює з компанією TippingPoint у межах ініціативи Zero Day Initiative

    CVE-2011-0133: користувач wushi з team509, який співпрацює з компанією TippingPoint у межах ініціативи Zero Day Initiative

    CVE-2011-0134: Ян Тосовський (Jan Tosovsky)

    CVE-2011-0135: анонімний доповідач

    CVE-2011-0136: Сергій Глазунов (Sergey Glazunov)

    CVE-2011-0137: Сергій Глазунов (Sergey Glazunov)

    CVE-2011-0138: користувач kuzzcc

    CVE-2011-0139: користувач kuzzcc

    CVE-2011-0140: Сергій Глазунов (Sergey Glazunov)

    CVE-2011-0141: Кріс Ролф (Chris Rohlf) із Matasano Security

    CVE-2011-0142: Абхішек Ар’я (Abhishek Arya, Inferno) з Google, Inc.

    CVE-2011-0143: Славомір Блажек (Slawomir Blazek) і Сергій Глазунов (Sergey Glazunov)

    CVE-2011-0144: Еміль Еклунд (Emil A Eklund) із Google, Inc.

    CVE-2011-0145: Абхішек Ар’я (Abhishek Arya, Inferno) з Google, Inc.

    CVE-2011-0146: Абхішек Ар’я (Abhishek Arya, Inferno) з Google, Inc.

    CVE-2011-0147: Дірк Шульце (Dirk Schulze)

    CVE-2011-0148: Міхал Залевський (Michal Zalewski) з Google, Inc.

    CVE-2011-0149: користувач wushi з team509, який співпрацює з компанією TippingPoint у межах ініціативи Zero Day Initiative, і користувач SkyLined з Google Chrome Security Team

    CVE-2011-0150: Міхаель Гундлах (Michael Gundlach) із safariadblock.com

    CVE-2011-0151: Абхішек Ар’я (Abhishek Arya, Inferno) з Google, Inc.

    CVE-2011-0152: користувач SkyLined із Google Chrome Security Team

    CVE-2011-0153: Абхішек Ар’я (Abhishek Arya, Inferno) з Google, Inc.

    CVE-2011-0154: анонімний дослідник, який співпрацює з компанією TippingPoint у межах ініціативи Zero Day Initiative

    CVE-2011-0155 : Акі Хелін (Aki Helin) з OUSPG

    CVE-2011-0156: Абхішек Ар’я (Abhishek Arya, Inferno) з Google, Inc.

    CVE-2011-0165: Сергій Глазунов (Sergey Glazunov)

    CVE-2011-0168: Сергій Глазунов (Sergey Glazunov)

Важливо. Згадування сторонніх вебсайтів і продуктів призначене лише для інформаційних цілей та не є ні заявою про підтримку, ні рекомендацією. Apple не несе відповідальності за вибір, продуктивність чи використання інформації або продуктів зі сторонніх вебсайтів. Apple надає цю інформацію лише для зручності наших користувачів. Компанія Apple не перевіряла інформацію, знайдену на цих вебсайтах, і не робить жодних заяв щодо її точності або надійності. Використання будь-якої інформації або продуктів, знайдених в інтернеті, пов’язане з ризиком, і Apple не несе жодної відповідальності щодо цього. Пам’ятайте, що сторонній вебсайт існує незалежно від Apple, і Apple не контролює вміст такого вебсайту. Зв’яжіться з постачальником послуг, щоб отримати додаткову інформацію.

Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.

Дата опублікування: