Giới thiệu về nội dung bảo mật của iTunes 10.2
Tài liệu này mô tả nội dung bảo mật của iTunes 10.2.
Nhằm bảo vệ khách hàng, Apple không tiết lộ, thảo luận hay xác nhận các vấn đề về bảo mật chừng nào chưa điều tra triệt để cũng như chưa có các bản vá hoặc bản phát hành cần thiết. Để tìm hiểu thêm về việc Bảo mật sản phẩm Apple, hãy truy cập trang web Bảo mật sản phẩm Apple.
Để tìm hiểu thông tin về Khóa PGP Bảo mật sản phẩm Apple, hãy xem bài viết "Cách sử dụng Khóa PGP Bảo mật sản phẩm Apple".
Nếu có thể, hãy tham chiếu các lỗ hổng bảo mật theo Mã số định danh lỗ hổng bảo mật (Common Vulnerabilities and Exposures ID, CVE-ID) để biết thêm thông tin.
Để tìm hiểu về các Bản cập nhật bảo mật khác, hãy xem bài viết "Bản cập nhật bảo mật của Apple".
iTunes 10.2
ImageIO
Phạm vi áp dụng: Windows 7, Vista, XP SP2 trở lên
Tác động: Nhiều lỗ hổng bảo mật trong libpng
Mô tả: libpng được cập nhật lên phiên bản 1.4.3 để giải quyết nhiều lỗ hổng bảo mật, trong đó lỗ hổng bảo mật nghiêm trọng nhất có thể dẫn đến tình trạng thực thi mã tùy ý. Đối với các hệ thống Mac OS X v10.5, vấn đề này được giải quyết trong Bản cập nhật bảo mật 2010-007. Để biết thêm thông tin, hãy truy cập vào trang web libpng http://www.libpng.org/pub/png/libpng.html
CVE-ID
CVE-2010-1205
CVE-2010-2249
ImageIO
Phạm vi áp dụng: Windows 7, Vista, XP SP2 trở lên
Tác động: Việc xem một hình ảnh JPEG được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý
Mô tả: Đã xảy ra vấn đề tràn bộ đệm heap trong quá trình xử lý hình ảnh JPEG. Việc xem một hình ảnh JPEG được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý.
CVE-ID
CVE-2011-0170 : Andrzej Dyjak đang hợp tác với iDefense VCP
ImageIO
Phạm vi áp dụng: Windows 7, Vista, XP SP2 trở lên
Tác động: Việc xem một hình ảnh XBM được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý
Mô tả: Đã xảy ra vấn đề tràn số nguyên trong quá trình ImageIO xử lý hình ảnh XBM. Việc xem một hình ảnh XBM được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý.
CVE-ID
CVE-2011-0181 : Harry Sintonen
ImageIO
Phạm vi áp dụng: Windows 7, Vista, XP SP2 trở lên
Tác động: Việc xem một hình ảnh TIFF được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý
Mô tả: Đã xảy ra vấn đề tràn bộ đệm trong quá trình libTIFF xử lý hình ảnh TIFF được mã hóa ở dạng JPEG. Việc xem một hình ảnh TIFF được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý.
CVE-ID
CVE-2011-0191 : Apple
ImageIO
Phạm vi áp dụng: Windows 7, Vista, XP SP2 trở lên
Tác động: Việc xem một hình ảnh TIFF được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý
Mô tả: Đã xảy ra vấn đề tràn bộ đệm trong quá trình libTIFF xử lý hình ảnh TIFF được mã hóa ở dạng CCITT Group 4. Việc xem một hình ảnh TIFF được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý.
CVE-ID
CVE-2011-0192 : Apple
libxml
Phạm vi áp dụng: Windows 7, Vista, XP SP2 trở lên
Tác động: Việc xử lý một tệp XML được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý
Mô tả: Đã xảy ra vấn đề giải phóng kép trong quá trình libxml xử lý các biểu thức XPath. Việc xử lý một tệp XML được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý.
CVE-ID
CVE-2010-4494 : Yang Dingning tại NCNIPC, Đại học Cao học thuộc Viện Khoa học Trung Quốc
libxml
Phạm vi áp dụng: Windows 7, Vista, XP SP2 trở lên
Tác động: Việc xử lý một tệp XML được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý
Mô tả: Đã xảy ra vấn đề hỏng bộ nhớ trong quá trình libxml xử lý XPath. Việc xử lý một tệp XML được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý.
CVE-ID
CVE-2010-4008 : Bùi Quang Minh thuộc Bkis (www.bkis.com)
WebKit
Phạm vi áp dụng: Windows 7, Vista, XP SP2 trở lên
Tác động: Cuộc tấn công trung gian có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý
Mô tả: Đã xảy ra nhiều vấn đề hỏng bộ nhớ trong WebKit. Cuộc tấn công trung gian khi đang duyệt iTunes Store thông qua iTunes có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý.
CVE-ID
CVE-2010-1824 : kuzzcc, wushi thuộc team509 đang hợp tác với Zero Day Initiative của TippingPoint
CVE-2011-0111 : Sergey Glazunov
CVE-2011-0112 : Yuzo Fujishima thuộc Google Inc.
CVE-2011-0113 : Andreas Kling thuộc Nokia
CVE-2011-0114 : Chris Evans thuộc Google Chrome Security Team
CVE-2011-0115 : J23 đang hợp tác với Zero Day Initiative của TippingPoint, Emil A Eklund thuộc Google, Inc
CVE-2011-0116 : một nhà nghiên cứu ẩn danh đang hợp tác với Zero Day Initiative của TippingPoint
CVE-2011-0117 : Abhishek Arya (Inferno) thuộc Google, Inc.
CVE-2011-0118 : Abhishek Arya (Inferno) thuộc Google, Inc.
CVE-2011-0119 : Abhishek Arya (Inferno) thuộc Google, Inc.
CVE-2011-0120 : Abhishek Arya (Inferno) thuộc Google, Inc.
CVE-2011-0121 : Abhishek Arya (Inferno) thuộc Google, Inc.
CVE-2011-0122 : Slawomir Blazek
CVE-2011-0123 : Abhishek Arya (Inferno) thuộc Google, Inc.
CVE-2011-0124 : Yuzo Fujishima thuộc Google Inc.
CVE-2011-0125 : Abhishek Arya (Inferno) thuộc Google, Inc.
CVE-2011-0126 : Mihai Parparita thuộc Google, Inc.
CVE-2011-0127 : Abhishek Arya (Inferno) thuộc Google, Inc.
CVE-2011-0128 : David Bloom
CVE-2011-0129 : Famlam
CVE-2011-0130 : Apple
CVE-2011-0131 : wushi thuộc team509
CVE-2011-0132 : wushi thuộc team509 đang hợp tác với Zero Day Initiative của TippingPoint
CVE-2011-0133 : wushi thuộc team509 đang hợp tác với Zero Day Initiative của TippingPoint
CVE-2011-0134 : Jan Tosovsky
CVE-2011-0135 : một người báo cáo ẩn danh
CVE-2011-0136 : Sergey Glazunov
CVE-2011-0137 : Sergey Glazunov
CVE-2011-0138 : kuzzcc
CVE-2011-0139 : kuzzcc
CVE-2011-0140 : Sergey Glazunov
CVE-2011-0141 : Chris Rohlf thuộc Matasano Security
CVE-2011-0142 : Abhishek Arya (Inferno) thuộc Google, Inc.
CVE-2011-0143 : Slawomir Blazek và Sergey Glazunov
CVE-2011-0144 : Emil A Eklund thuộc Google, Inc.
CVE-2011-0145 : Abhishek Arya (Inferno) thuộc Google, Inc.
CVE-2011-0146 : Abhishek Arya (Inferno) thuộc Google, Inc.
CVE-2011-0147 : Dirk Schulze
CVE-2011-0148 : Michal Zalewski thuộc Google, Inc.
CVE-2011-0149 : wushi thuộc team509 đang hợp tác với Zero Day Initiative của TippingPoint, SkyLined thuộc Google Chrome Security Team
CVE-2011-0150 : Michael Gundlach thuộc safariadblock.com
CVE-2011-0151 : Abhishek Arya (Inferno) thuộc Google, Inc.
CVE-2011-0152 : SkyLined thuộc Google Chrome Security Team
CVE-2011-0153 : Abhishek Arya (Inferno) thuộc Google, Inc.
CVE-2011-0154 : một nhà nghiên cứu ẩn danh đang hợp tác với Zero Day Initiative của TippingPoint
CVE-2011-0155 : Aki Helin thuộc OUSPG
CVE-2011-0156 : Abhishek Arya (Inferno) thuộc Google, Inc.
CVE-2011-0165 : Sergey Glazunov
CVE-2011-0168 : Sergey Glazunov
Lưu ý quan trọng: Việc đề cập đến các trang web và sản phẩm của bên thứ ba chỉ nhằm mục đích cung cấp thông tin và không tạo thành sự xác nhận hay đề xuất. Apple không chịu trách nhiệm đối với việc lựa chọn, sử dụng hay về hiệu quả của thông tin hoặc sản phẩm có trên trang web của bên thứ ba. Apple cung cấp thông tin này chỉ để thuận tiện cho người dùng. Apple chưa kiểm tra thông tin có trên các trang web này và không cam kết bất cứ điều gì về tính chính xác hay độ tin cậy của thông tin. Việc sử dụng bất cứ thông tin hay sản phẩm nào trên Internet vốn đều có rủi ro và Apple không chịu trách nhiệm về vấn đề này. Vui lòng hiểu rằng trang web của bên thứ ba hoạt động độc lập với Apple và Apple không có quyền kiểm soát nội dung trên trang web đó. Vui lòng liên hệ với nhà cung cấp để biết thêm thông tin.