关于 iTunes 10.2 的安全性内容
本文介绍了 iTunes 10.2 的安全性内容。
为保护我们的客户,在未进行详尽调查并推出必要的修补程序或发布版本之前,Apple 不会公开、讨论或确认安全性问题。要进一步了解 Apple 产品安全性,请参阅“Apple 产品安全性”网站。
如需了解 Apple 产品安全性 PGP 密钥,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。
在可能的情况下,我们会使用 CVE ID 来引用相应的漏洞以提供更多信息。
要了解其他安全性更新,请参阅“Apple 安全性更新”。
iTunes 10.2
ImageIO
适用于:Windows 7、Vista、XP SP2 或更高版本
影响:libpng 中存在多个漏洞
描述:libpng 已更新至版本 1.4.3 以解决多个漏洞,其中最严重的漏洞可能会导致任意代码执行。对于 Mac OS X v10.5 系统,这个问题已在“安全性更新 2010-007”中得到解决。如需了解更多信息,请访问 libpng 网站:http://www.libpng.org/pub/png/libpng.html
CVE-ID
CVE-2010-1205
CVE-2010-2249
ImageIO
适用于:Windows 7、Vista、XP SP2 或更高版本
影响:查看恶意制作的 JPEG 图像可能会导致应用程序意外终止或任意代码执行
描述:ImageIO 在处理 JPEG 图像时存在堆缓冲区溢出问题。查看恶意制作的 JPEG 图像可能会导致应用程序意外终止或任意代码执行。
CVE-ID
CVE-2011-0170:Andrzej Dyjak 与 iDefense VCP 合作发现
ImageIO
适用于:Windows 7、Vista、XP SP2 或更高版本
影响:查看恶意制作的 XBM 图像可能会导致应用程序意外终止或任意代码执行
描述:ImageIO 在处理 XBM 图像时存在整数溢出问题。查看恶意制作的 XBM 图像可能会导致应用程序意外终止或任意代码执行。
CVE-ID
CVE-2011-0181:Harry Sintonen
ImageIO
适用于:Windows 7、Vista、XP SP2 或更高版本
影响:查看恶意制作的 TIFF 图像可能会导致应用程序意外终止或任意代码执行
描述:libTIFF 在处理 JPEG 编码的 TIFF 图像时存在缓冲区溢出问题。查看恶意制作的 TIFF 图像可能会导致应用程序意外终止或任意代码执行。
CVE-ID
CVE-2011-0191:Apple
ImageIO
适用于:Windows 7、Vista、XP SP2 或更高版本
影响:查看恶意制作的 TIFF 图像可能会导致应用程序意外终止或任意代码执行
描述:libTIFF 在处理 CCITT Group 4 编码的 TIFF 图像时存在缓冲区溢出问题。查看恶意制作的 TIFF 图像可能会导致应用程序意外终止或任意代码执行。
CVE-ID
CVE-2011-0192:Apple
libxml
适用于:Windows 7、Vista、XP SP2 或更高版本
影响:处理恶意制作的 XML 文件可能会导致应用程序意外终止或任意代码执行
描述:libxml 在处理 XPath 表达式时存在双重释放问题。处理恶意制作的 XML 文件可能会导致应用程序意外终止或任意代码执行。
CVE-ID
CVE-2010-4494:中国科学院大学 NCNIPC 的 Yang Dingning
libxml
适用于:Windows 7、Vista、XP SP2 或更高版本
影响:处理恶意制作的 XML 文件可能会导致应用程序意外终止或任意代码执行
描述:libxml 在处理 XPath 时存在内存损坏问题。处理恶意制作的 XML 文件可能会导致应用程序意外终止或任意代码执行。
CVE-ID
CVE-2010-4008:Bkis (www.bkis.com) 的 Bui Quang Minh
WebKit
适用于:Windows 7、Windows Vista、Windows XP SP2 或更高版本
影响:中间人攻击可能会导致应用程序意外终止或任意代码执行
描述:WebKit 中存在多个内存损坏问题。通过 iTunes 浏览 iTunes Store 时出现的中间人攻击可能会导致应用程序意外终止或任意代码执行。
CVE-ID
CVE-2010-1824:kuzzcc、team509 的 wushi 与 TippingPoint 的 Zero Day Initiative 合作发现
CVE-2011-0111:Sergey Glazunov
CVE-2011-0112:Google Inc. 的 Yuzo Fujishima
CVE-2011-0113:Nokia 的 Andreas Kling
CVE-2011-0114:Google Chrome Security Team 的 Chris Evans
CVE-2011-0115:J23 与 TippingPoint 的 Zero Day Initiative,以及 Google, Inc 的 Emil A Eklund 合作发现
CVE-2011-0116:一位匿名研究人员与 TippingPoint 的 Zero Day Initiative 合作发现
CVE-2011-0117:Google, Inc. 的 Abhishek Arya (Inferno)
CVE-2011-0118:Google, Inc. 的 Abhishek Arya (Inferno)
CVE-2011-0119:Google, Inc. 的 Abhishek Arya (Inferno)
CVE-2011-0120:Google, Inc. 的 Abhishek Arya (Inferno)
CVE-2011-0121:Google, Inc. 的 Abhishek Arya (Inferno)
CVE-2011-0122:Slawomir Blazek
CVE-2011-0123:Google, Inc. 的 Abhishek Arya (Inferno)
CVE-2011-0124:Google Inc. 的 Yuzo Fujishima
CVE-2011-0125:Google, Inc. 的 Abhishek Arya (Inferno)
CVE-2011-0126:Google, Inc. 的 Mihai Parparita
CVE-2011-0127:Google, Inc. 的 Abhishek Arya (Inferno)
CVE-2011-0128:David Bloom
CVE-2011-0129:Famlam
CVE-2011-0130:Apple
CVE-2011-0131:team509 的 wushi
CVE-2011-0132:team509 的 wushi 与 TippingPoint 的 Zero Day Initiative 合作发现
CVE-2011-0133:team509 的 wushi 与 TippingPoint 的 Zero Day Initiative 合作发现
CVE-2011-0134:Jan Tosovsky
CVE-2011-0135:一位匿名报告者
CVE-2011-0136:Sergey Glazunov
CVE-2011-0137:Sergey Glazunov
CVE-2011-0138:kuzzcc
CVE-2011-0139:kuzzcc
CVE-2011-0140:Sergey Glazunov
CVE-2011-0141:Matasano Security 的 Chris Rohlf
CVE-2011-0142:Google, Inc. 的 Abhishek Arya (Inferno)
CVE-2011-0143:Slawomir Blazek 和 Sergey Glazunov
CVE-2011-0144:Google, Inc. 的 Emil A Eklund
CVE-2011-0145:Google, Inc. 的 Abhishek Arya (Inferno)
CVE-2011-0146:Google, Inc. 的 Abhishek Arya (Inferno)
CVE-2011-0147:Dirk Schulze
CVE-2011-0148:Google, Inc. 的 Michal Zalewski
CVE-2011-0149:team509 的 wushi 与 TippingPoint 的 Zero Day Initiative,以及 Google Chrome Security Team 的 SkyLined 合作发现
CVE-2011-0150:safariadblock.com 的 Michael Gundlach
CVE-2011-0151:Google, Inc. 的 Abhishek Arya (Inferno)
CVE-2011-0152:Google Chrome Security Team 的 SkyLined
CVE-2011-0153:Google, Inc. 的 Abhishek Arya (Inferno)
CVE-2011-0154:一位匿名研究人员与 TippingPoint 的 Zero Day Initiative 合作发现
CVE-2011-0155:OUSPG 的 Aki Helin
CVE-2011-0156:Google, Inc. 的 Abhishek Arya (Inferno)
CVE-2011-0165:Sergey Glazunov
CVE-2011-0168:Sergey Glazunov
重要信息:提及的第三方网站和产品仅作参考,并不代表 Apple 的认可或推荐。Apple 对于第三方网站上所提供信息或产品的选择、性能或使用概不负责。Apple 提供这些网站只是为了方便用户。Apple 尚未测试这些网站上的信息,对信息的准确性或可靠性不作任何声明。使用互联网上的任何信息或产品均有一定风险,Apple 对于这些风险不承担任何责任。敬请理解:第三方网站与 Apple 互相独立,Apple 无法控制第三方网站上的内容。有关更多信息,请联系供应商。