关于 iTunes 10.5 的安全性内容
本文介绍了 iTunes 10.5 的安全性内容。
为保护我们的客户,在未进行详尽调查并推出必要的修补程序或发布版本之前,Apple 不会公开、讨论或确认安全性问题。要进一步了解 Apple 产品安全性,请参阅“Apple 产品安全性”网站。
如需了解 Apple 产品安全性 PGP 密钥,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。
在可能的情况下,我们会使用 CVE ID 来引用相应的漏洞以提供更多信息。
要了解其他安全性更新,请参阅“Apple 安全性更新”。
iTunes 10.5
CoreFoundation
适用于:Windows 7、Vista、XP SP2 或更高版本。
影响:中间人攻击可能会导致应用程序意外终止或任意代码执行。
描述:处理字符串令牌化时存在内存损坏问题。这个问题不会影响 OS X Lion 系统。对于 Mac OS X v10.6 系统,这个问题已在“安全性更新 2011-006”中得到解决。
CVE-ID
CVE-2011-0259:Apple。
ColorSync
适用于:Windows 7、Vista、XP SP2 或更高版本。
影响:查看内嵌色彩同步描述文件的恶意制作图像,可能会导致应用软件意外终止或任意代码执行。
说明:处理内嵌色彩同步描述文件的图像时存在整数溢出问题,此问题可能会导致堆缓冲区溢出。打开内嵌色彩同步描述文件的恶意制作图像可能会导致应用程序意外终止或任意代码执行。这个问题不会影响 OS X Lion 系统。
CVE-ID
CVE-2011-0200:binaryproof 与 TippingPoint 的 Zero Day Initiative 合作发现。
CoreAudio
适用于:Windows 7、Vista、XP SP2 或更高版本。
影响:播放恶意制作的音频内容可能会导致应用程序意外终止或任意代码执行。
描述:处理使用高级音频编码技术编码的音频流时存在缓冲区溢出问题。这个问题不会影响 OS X Lion 系统。
CVE-ID
CVE-2011-3252:Luigi Auriemma 与 TippingPoint 的 Zero Day Initiative 合作发现。
CoreMedia
适用于:Windows 7、Vista、XP SP2 或更高版本。
影响:查看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行.
描述:处理 H.264 编码的影片文件时存在缓冲区溢出。对于 OS X Lion 系统,这个问题已在 OS X Lion v10.7.2 中得到解决。对于 Mac OS X v10.6 系统,这个问题已在“安全性更新 2011-006”中得到解决。
CVE-ID
CVE-2011-3219:Damian Put 与 TippingPoint 的 Zero Day Initiative 合作发现。
ImageIO
适用于:Windows 7、Vista、XP SP2 或更高版本。
影响:查看恶意制作的 TIFF 图像可能会导致应用程序意外终止或任意代码执行。
说明:ImageIO 在处理 TIFF 图像时存在堆缓冲区溢出。这个问题不会影响 OS X Lion 系统。对于 Mac OS X v10.6 系统,这个问题已在 Mac OS X v10.6.8 中得到解决。
CVE-ID
CVE-2011-0204:NGS Secure 的 Dominic Chell。
ImageIO
适用于:Windows 7、Vista、XP SP2 或更高版本。
影响:查看恶意制作的 TIFF 图像可能会导致应用程序意外终止或任意代码执行。
描述:ImageIO 在处理 TIFF 图像时存在重入问题。这个问题不会影响 Mac OS X 系统。
CVE-ID
CVE-2011-0215:Juan Pablo Lopez Yacubian 与 iDefense VCP 合作发现。
WebKit
适用于:Windows 7、Vista、XP SP2 或更高版本
影响:通过 iTunes 浏览 iTunes Store 时,中间人攻击可能会导致应用程序意外终止或任意代码执行。
描述:WebKit 中存在多个内存损坏问题。
CVE-ID
CVE-2010-1823:Microsoft 的 David Weston 与 Microsoft Vulnerability Research (MSVR)、team509 的 wushi,以及 Research In Motion Ltd. 的 Yong Li。
CVE-2011-0164:Apple。
CVE-2011-0218:Google Chrome Security Team 的 SkyLined。
CVE-2011-0221:Google Chrome Security Team 的 Abhishek Arya (Inferno)。
CVE-2011-0222:CISS Research Team 的 Nikita Tarakanov 和 Alex Bazhanyuk,以及 Google Chrome Security Team 的 Abhishek Arya (Inferno)。
CVE-2011-0223:spa-s3c.blogspot.com 的 Jose A. Vazquez 与 iDefense VCP 合作发现。
CVE-2011-0225:Google Chrome Security Team 的 Abhishek Arya (Inferno)。
CVE-2011-0232:J23 与 TippingPoint 的 Zero Day Initiative 合作发现。
CVE-2011-0233:team509 的 wushi 与 TippingPoint 的 Zero Day Initiative 合作发现。
CVE-2011-0234:Rob King 与 TippingPoint 的 Zero Day Initiative 合作发现,team509 的 wushi 与 TippingPoint 的 Zero Day Initiative 合作发现,team509 的 wushi 与 iDefense VCP 合作发现。
CVE-2011-0235:Google Chrome Security Team 的 Abhishek Arya (Inferno)。
CVE-2011-0237:team509 的 wushi 与 iDefense VCP 合作发现。
CVE-2011-0238:Google Chrome Security Team 的 Adam Barth。
CVE-2011-0240:team509 的 wushi 与 iDefense VCP 合作发现。
CVE-2011-0253:Richard Keen。
CVE-2011-0254:一位匿名研究人员与 TippingPoint 的 Zero Day Initiative 合作发现。
CVE-2011-0255:一位匿名研究人员与 TippingPoint 的 Zero Day Initiative 合作发现。
CVE-2011-0981:Adobe Systems, Inc. 的 Rik Cabanier。
CVE-2011-0983:Martin Barbella。
CVE-2011-1109:Sergey Glazunov。
CVE-2011-1114:Martin Barbella。
CVE-2011-1115:Martin Barbella。
CVE-2011-1117:team509 的 wushi。
CVE-2011-1121:miaubiz。
CVE-2011-1188:Martin Barbella。
CVE-2011-1203:Sergey Glazunov。
CVE-2011-1204:Sergey Glazunov。
CVE-2011-1288:Nokia 的 Andreas Kling。
CVE-2011-1293:Sergey Glazunov。
CVE-2011-1296:Sergey Glazunov。
CVE-2011-1440:spa-s3c.blogspot.com 的 Jose A. Vazquez。
CVE-2011-1449:Marek Majkowski。
CVE-2011-1451:Sergey Glazunov。
CVE-2011-1453:team509 的 wushi 与 TippingPoint 的 Zero Day Initiative 合作发现。
CVE-2011-1457:Google 的 John Knottenbelt。
CVE-2011-1462:team509 的 wushi。
CVE-2011-1797:team509 的 wushi。
CVE-2011-2338:Google Chrome Security Team 的 Abhishek Arya (Inferno) 使用 AddressSanitizer 发现。
CVE-2011-2339:Google Chrome Security Team 的 Cris Neckar。
CVE-2011-2341:Apple。
CVE-2011-2351:miaubiz。
CVE-2011-2352:Apple。
CVE-2011-2354:Apple。
CVE-2011-2356:Google Chrome Security Team 的 Adam Barth 和 Abhishek Arya 使用 AddressSanitizer 发现。
CVE-2011-2359:miaubiz。
CVE-2011-2788:Samsung 的 Mikolaj Malecki。
CVE-2011-2790:miaubiz。
CVE-2011-2792:miaubiz。
CVE-2011-2797:miaubiz。
CVE-2011-2799:miaubiz。
CVE-2011-2809:Google Chrome Security Team 的 Abhishek Arya (Inferno)。
CVE-2011-2811:Apple。
CVE-2011-2813:Google Chrome Security Team 的 Cris Neckar 使用 AddressSanitizer 发现。
CVE-2011-2814:Google Chrome Security Team 的 Abhishek Arya (Inferno) 使用 AddressSanitizer 发现。
CVE-2011-2815:Google Chrome Security Team 的 SkyLined。
CVE-2011-2816:Apple。
CVE-2011-2817:Google Chrome Security Team 的 Abhishek Arya (Inferno) 使用 AddressSanitizer 发现。
CVE-2011-2818:Martin Barbella。
CVE-2011-2820:Google 的 Raman Tenneti 和 Philip Rogers。
CVE-2011-2823:Google Chrome Security Team 的 SkyLined。
CVE-2011-2827:miaubiz。
CVE-2011-2831:Google Chrome Security Team 的 Abhishek Arya (Inferno) 使用 AddressSanitizer 发现。
CVE-2011-3232:OUSPG 的 Aki Helin。
CVE-2011-3233:Chromium 开发社区的 Sadrul Habib Chowdhury,Google Chrome Security Team 的 Cris Neckar 和 Abhishek Arya (Inferno)。
CVE-2011-3234:miaubiz。
CVE-2011-3235:Chromium 开发社区的 Dimitri Glazkov、Kent Tamura、Dominic Cooney,以及 Google Chrome Security Team 的 Abhishek Arya (Inferno)。
CVE-2011-3236:Google Chrome Security Team 的 Abhishek Arya (Inferno) 使用 AddressSanitizer 发现。
CVE-2011-3237:Chromium 开发社区的 Dimitri Glazkov、Kent Tamura、Dominic Cooney,以及 Google Chrome Security Team 的 Abhishek Arya (Inferno)。
CVE-2011-3238:Martin Barbella。
CVE-2011-3239:Slawomir Blazek。
CVE-2011-3241:Apple。
CVE-2011-3244:vkouchna。
WebKit
适用于:Windows 7、Vista、XP SP2 或更高版本。
影响:中间人攻击可能会导致任意代码执行。
描述:WebKit 在使用 libxslt 时存在配置问题。通过 iTunes 浏览 iTunes Store 时,中间人攻击可能会导致使用当前用户的权限创建任意文件,从而可能会导致任意代码执行。已通过改进 libxslt 安全性设置解决这个问题。
CVE-ID
CVE-2011-1774:Agarri 的 Nicolas Gregoire。
重要信息:提及的第三方网站和产品仅作参考,并不代表 Apple 的认可或推荐。Apple 对于第三方网站上所提供信息或产品的选择、性能或使用概不负责。Apple 提供这些网站只是为了方便用户。Apple 尚未测试这些网站上的信息,对信息的准确性或可靠性不作任何声明。使用互联网上的任何信息或产品均有一定风险,Apple 对于这些风险不承担任何责任。敬请理解:第三方网站与 Apple 互相独立,Apple 无法控制第三方网站上的内容。有关更多信息,请联系供应商。