Giới thiệu về nội dung bảo mật của iTunes 10.5
Tài liệu này mô tả nội dung bảo mật của iTunes 10.5.
Nhằm bảo vệ khách hàng, Apple không tiết lộ, thảo luận hay xác nhận các vấn đề về bảo mật chừng nào chưa điều tra triệt để cũng như chưa có các bản vá hoặc bản phát hành cần thiết. Để tìm hiểu thêm về việc Bảo mật sản phẩm Apple, hãy truy cập trang web Bảo mật sản phẩm Apple.
Để tìm hiểu thông tin về Khóa PGP Bảo mật sản phẩm Apple, hãy xem bài viết Cách sử dụng Khóa PGP bảo mật sản phẩm Apple.
Nếu có thể, hãy tham chiếu các lỗ hổng bảo mật theo Mã số định danh lỗ hổng bảo mật (Common Vulnerabilities and Exposures ID, CVE-ID) để biết thêm thông tin.
Để tìm hiểu về các Bản cập nhật bảo mật khác, hãy xem bài viết Bản cập nhật bảo mật của Apple.
iTunes 10.5
CoreFoundation
Phạm vi áp dụng: Windows 7, Vista, XP SP2 trở lên.
Tác động: Cuộc tấn công trung gian có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý.
Mô tả: Đã xảy ra vấn đề hỏng bộ nhớ trong quá trình xử lý hoạt động mã hóa chuỗi. Sự cố này không ảnh hưởng đến các hệ thống OS X Lion. Đối với các hệ thống Mac OS X v10.6, sự cố này được giải quyết trong Bản cập nhật bảo mật 2011-006.
CVE-ID
CVE-2011-0259 : Apple.
ColorSync
Phạm vi áp dụng: Windows 7, Vista, XP SP2 trở lên.
Tác động: Việc mở một hình ảnh được tạo với ý đồ xấu chứa cấu hình ColorSync được nhúng có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý.
Mô tả: Đã xảy ra lỗi tràn số nguyên trong quá trình xử lý các hình ảnh chứa cấu hình ColorSync được nhúng, có thể dẫn đến tình trạng tràn bộ đệm heap. Hành động mở hình ảnh được tạo với dụng ý xấu đã nhúng một cấu hình ColorSync có thể dẫn đến việc thực thi mã tùy ý hoặc làm ứng dụng đột ngột dừng hoạt động. Sự cố này không ảnh hưởng đến các hệ thống OS X Lion.
CVE-ID
CVE-2011-0200 : binaryproof đang hợp tác với Zero Day Initiative của TippingPoint.
CoreAudio
Phạm vi áp dụng: Windows 7, Vista, XP SP2 trở lên.
Tác động: Việc phát nội dung âm thanh được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý.
Mô tả: Đã xảy ra lỗi tràn bộ đệm trong quá trình xử lý luồng âm thanh được mã hóa bằng mã âm thanh nâng cao. Sự cố này không ảnh hưởng đến các hệ thống OS X Lion.
CVE-ID
CVE-2011-3252 : Luigi Auriemma đang hợp tác với Zero Day Initiative của TippingPoint.
CoreMedia
Phạm vi áp dụng: Windows 7, Vista, XP SP2 trở lên.
Tác động: Việc xem một tệp phim được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý.
Mô tả: Đã xảy ra lỗi tràn bộ đệm trong quá trình xử lý tệp phim được mã hóa ở dạng H.264. Đối với các hệ thống OS X Lion, sự cố này được giải quyết trong OS X Lion v10.7.2. Đối với các hệ thống Mac OS X v10.6, sự cố này được giải quyết trong Bản cập nhật bảo mật 2011-006.
CVE-ID
CVE-2011-3219: Damian Put đang hợp tác với Zero Day Initiative của TippingPoint.
ImageIO
Phạm vi áp dụng: Windows 7, Vista, XP SP2 trở lên.
Tác động: Việc xem một hình ảnh TIFF được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý.
Mô tả: Đã xảy ra lỗi tràn bộ đệm heap trong quá trình ImageIO xử lý các hình ảnh TIFF. Sự cố này không ảnh hưởng đến các hệ thống OS X Lion. Đối với các hệ thống Mac OS X v10.6, vấn đề này được giải quyết trong Mac OS X v10.6.8.
CVE-ID
CVE-2011-0204 : Dominic Chell thuộc NGS Secure.
ImageIO
Phạm vi áp dụng: Windows 7, Vista, XP SP2 trở lên.
Tác động: Việc xem một hình ảnh TIFF được tạo với ý đồ xấu có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý.
Mô tả: Đã xảy ra vấn đề lặp lệnh gọi trong quá trình ImageIO xử lý các hình ảnh TIFF. Sự cố này không ảnh hưởng đến các hệ thống Mac OS X.
CVE-ID
CVE-2011-0215 : Juan Pablo Lopez Yacubian đang hợp tác với iDefense VCP.
WebKit
Phạm vi áp dụng: Windows 7, Vista, XP SP2 trở lên
Tác động: Cuộc tấn công trung gian khi đang duyệt iTunes Store thông qua iTunes có thể khiến ứng dụng đột ngột dừng hoạt động hoặc dẫn đến tình trạng thực thi mã tùy ý.
Mô tả: Đã xảy ra nhiều vấn đề hỏng bộ nhớ trong WebKit.
CVE-ID
CVE-2010-1823 : David Weston thuộc Microsoft và Microsoft Vulnerability Research (MSVR), wushi thuộc team509, Yong Li thuộc Research In Motion Ltd.
CVE-2011-0164 : Apple.
CVE-2011-0218 : SkyLined thuộc Google Chrome Security Team.
CVE-2011-0221 : Abhishek Arya (Inferno) thuộc Google Chrome Security Team.
CVE-2011-0222 : Nikita Tarakanov và Alex Bazhanyuk thuộc CISS Research Team, Abhishek Arya (Inferno) thuộc Google Chrome Security Team.
CVE-2011-0223 : Jose A. Vazquez thuộc spa-s3c.blogspot.com đang hợp tác với iDefense VCP.
CVE-2011-0225 : Abhishek Arya (Inferno) thuộc Google Chrome Security Team.
CVE-2011-0232 : J23 đang hợp tác với Zero Day Initiative của TippingPoint.
CVE-2011-0233 : wushi thuộc team509 đang hợp tác với Zero Day Initiative của TippingPoint.
CVE-2011-0234 : Rob King đang hợp tác với Zero Day Initiative của TippingPoint, wushi thuộc team509 đang hợp tác với Zero Day Initiative của TippingPoint, wushi thuộc team509 đang hợp tác với iDefense VCP.
CVE-2011-0235 : Abhishek Arya (Inferno) thuộc Google Chrome Security Team.
CVE-2011-0237 : wushi thuộc team509 đang hợp tác với iDefense VCP.
CVE-2011-0238 : Adam Barth thuộc Google Chrome Security Team.
CVE-2011-0240 : wushi thuộc team509 đang hợp tác với iDefense VCP.
CVE-2011-0253 : Richard Keen.
CVE-2011-0254 : Một nhà nghiên cứu ẩn danh đang hợp tác với Zero Day Initiative của TippingPoint.
CVE-2011-0255 : Một nhà nghiên cứu ẩn danh đang hợp tác với Zero Day Initiative của TippingPoint.
CVE-2011-0981 : Rik Cabanier thuộc Adobe Systems, Inc.
CVE-2011-0983 : Martin Barbella.
CVE-2011-1109 : Sergey Glazunov.
CVE-2011-1114 : Martin Barbella.
CVE-2011-1115 : Martin Barbella.
CVE-2011-1117 : wushi thuộc team509.
CVE-2011-1121 : miaubiz.
CVE-2011-1188 : Martin Barbella.
CVE-2011-1203 : Sergey Glazunov.
CVE-2011-1204 : Sergey Glazunov.
CVE-2011-1288 : Andreas Kling thuộc Nokia.
CVE-2011-1293 : Sergey Glazunov.
CVE-2011-1296 : Sergey Glazunov.
CVE-2011-1440 : Jose A. Vazquez thuộc spa-s3c.blogspot.com.
CVE-2011-1449 : Marek Majkowski.
CVE-2011-1451 : Sergey Glazunov.
CVE-2011-1453 : wushi thuộc team509 đang hợp tác với Zero Day Initiative của TippingPoint.
CVE-2011-1457 : John Knottenbelt thuộc Google.
CVE-2011-1462 : wushi thuộc team509.
CVE-2011-1797 : wushi thuộc team509.
CVE-2011-2338 : Abhishek Arya (Inferno) thuộc Google Chrome Security Team, sử dụng AddressSanitizer.
CVE-2011-2339 : Cris Neckar thuộc Google Chrome Security Team.
CVE-2011-2341 : Apple.
CVE-2011-2351 : miaubiz.
CVE-2011-2352 : Apple.
CVE-2011-2354 : Apple.
CVE-2011-2356 : Adam Barth và Abhishek Arya thuộc Google Chrome Security Team, sử dụng AddressSanitizer.
CVE-2011-2359 : miaubiz.
CVE-2011-2788 : Mikolaj Malecki thuộc Samsung.
CVE-2011-2790 : miaubiz.
CVE-2011-2792 : miaubiz.
CVE-2011-2797 : miaubiz.
CVE-2011-2799 : miaubiz.
CVE-2011-2809 : Abhishek Arya (Inferno) thuộc Google Chrome Security Team.
CVE-2011-2811 : Apple.
CVE-2011-2813 : Cris Neckar thuộc Google Chrome Security Team, sử dụng AddressSanitizer.
CVE-2011-2814 : Abhishek Arya (Inferno) thuộc Google Chrome Security Team, sử dụng AddressSanitizer.
CVE-2011-2815 : SkyLined thuộc Google Chrome Security Team.
CVE-2011-2816 : Apple.
CVE-2011-2817 : Abhishek Arya (Inferno) thuộc Google Chrome Security Team, sử dụng AddressSanitizer.
CVE-2011-2818 : Martin Barbella.
CVE-2011-2820 : Raman Tenneti và Philip Rogers thuộc Google.
CVE-2011-2823 : SkyLined thuộc Google Chrome Security Team.
CVE-2011-2827 : miaubiz.
CVE-2011-2831 : Abhishek Arya (Inferno) thuộc Google Chrome Security Team, sử dụng AddressSanitizer.
CVE-2011-3232 : Aki Helin thuộc OUSPG.
CVE-2011-3233 : Sadrul Habib Chowdhury thuộc cộng đồng phát triển Chromium, Cris Neckar và Abhishek Arya (Inferno) thuộc Google Chrome Security Team.
CVE-2011-3234 : miaubiz.
CVE-2011-3235 : Dimitri Glazkov, Kent Tamura và Dominic Cooney thuộc cộng đồng phát triển Chromium, Abhishek Arya (Inferno) thuộc Google Chrome Security Team.
CVE-2011-3236 : Abhishek Arya (Inferno) thuộc Google Chrome Security Team, sử dụng AddressSanitizer.
CVE-2011-3237 : Dimitri Glazkov, Kent Tamura và Dominic Cooney thuộc cộng đồng phát triển Chromium, Abhishek Arya (Inferno) thuộc Google Chrome Security Team.
CVE-2011-3238 : Martin Barbella.
CVE-2011-3239 : Slawomir Blazek.
CVE-2011-3241 : Apple.
CVE-2011-3244 : vkouchna.
WebKit
Phạm vi áp dụng: Windows 7, Vista, XP SP2 trở lên.
Tác động: Cuộc tấn công trung gian có thể dẫn đến tình trạng thực thi mã tùy ý.
Mô tả: Đã xảy ra vấn đề về cấu hình trong quá trình WebKit sử dụng libxslt. Cuộc tấn công trung gian khi đang duyệt iTunes Store thông qua iTunes có thể dẫn đến tình trạng tạo tệp tùy ý bằng đặc quyền của người dùng, từ đó thực thi mã tùy ý. Vấn đề này được giải quyết thông qua việc cải thiện các cài đặt bảo mật libxslt.
CVE-ID
CVE-2011-1774 : Nicolas Gregoire thuộc Agarri.
Lưu ý quan trọng: Việc đề cập đến các trang web và sản phẩm của bên thứ ba chỉ nhằm mục đích cung cấp thông tin và không tạo thành sự xác nhận hay đề xuất. Apple không chịu trách nhiệm đối với việc lựa chọn, sử dụng hay về hiệu quả của thông tin hoặc sản phẩm có trên trang web của bên thứ ba. Apple cung cấp thông tin này chỉ để thuận tiện cho người dùng. Apple chưa kiểm tra thông tin có trên các trang web này và không cam kết bất cứ điều gì về tính chính xác hay độ tin cậy của thông tin. Việc sử dụng bất cứ thông tin hay sản phẩm nào trên Internet vốn đều có rủi ro và Apple không chịu trách nhiệm về vấn đề này. Vui lòng hiểu rằng trang web của bên thứ ba hoạt động độc lập với Apple và Apple không có quyền kiểm soát nội dung trên trang web đó. Vui lòng liên hệ với nhà cung cấp để biết thêm thông tin.