關於 iTunes 10.2 的保安內容

本文說明 iTunes 10.2 的保安內容。

為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。如要進一步了解 Apple 產品的保安,請參閱 Apple 產品保安網站。

如需 Apple 產品保安 PGP 金鑰的相關資料,請參閱「如何使用 Apple 產品保安 PGP 金鑰」一文。

在可能的情況下,CVE ID 會用於參照保安漏洞,以提供進一步資料。

如要了解其他保安更新,請參閱「Apple 保安更新」。

iTunes 10.2

  • ImageIO

    適用於:Windows 7、Vista、XP SP2 或之後版本

    影響:libpng 存在多個漏洞

    說明:libpng 已更新至版本 1.4.3 以處理多個漏洞,其中最嚴重的漏洞可能導致執行任意程式碼。對於 Mac OS X v10.5 系統,此問題已透過保安更新 2010-007 得到處理。如需詳細資料,請前往 libpng 網站:http://www.libpng.org/pub/png/libpng.html

    CVE-ID

    CVE-2010-1205

    CVE-2010-2249

  • ImageIO

    適用於:Windows 7、Vista、XP SP2 或之後版本

    影響:檢視惡意製作的 JPEG 影像可能導致應用程式意外終止或執行任意程式碼

    說明:ImageIO 處理 JPEG 影像時,存在堆疊緩衝區溢位問題。檢視惡意製作的 JPEG 影像可能導致應用程式意外終止或執行任意程式碼。

    CVE-ID

    CVE-2011-0170:Andrzej Dyjak 與 iDefense VCP 合作

  • ImageIO

    適用於:Windows 7、Vista、XP SP2 或之後版本

    影響:檢視惡意製作的 XBM 影像可能導致應用程式意外終止或執行任意程式碼

    說明:ImageIO 處理 XBM 影像時,存在整數溢位問題。檢視惡意製作的 XBM 影像可能導致應用程式意外終止或執行任意程式碼。

    CVE-ID

    CVE-2011-0181:Harry Sintonen

  • ImageIO

    適用於:Windows 7、Vista、XP SP2 或之後版本

    影響:檢視惡意製作的 TIFF 影像可能導致應用程式意外終止或執行任意程式碼

    說明:libTIFF 處理 JPEG 編碼 TIFF 影像時,存在緩衝區溢位問題。檢視惡意製作的 TIFF 影像可能導致應用程式意外終止或執行任意程式碼。

    CVE-ID

    CVE-2011-0191:Apple

  • ImageIO

    適用於:Windows 7、Vista、XP SP2 或之後版本

    影響:檢視惡意製作的 TIFF 影像可能導致應用程式意外終止或執行任意程式碼

    說明:libTIFF 處理 CCITT Group 4 編碼 TIFF 影像時,存在緩衝區溢位問題。檢視惡意製作的 TIFF 影像可能導致應用程式意外終止或執行任意程式碼。

    CVE-ID

    CVE-2011-0192:Apple

  • libxml

    適用於:Windows 7、Vista、XP SP2 或之後版本

    影響:處理惡意製作的 XML 檔案可能導致應用程式意外終止或執行任意程式碼

    說明:libxml 處理 XPath 表達式時,存在重複釋放記憶體問題。處理惡意製作的 XML 檔案可能導致應用程式意外終止或執行任意程式碼。

    CVE-ID

    CVE-2010-4494:中國科學院研究生院國家計算機網絡入侵防範中心的楊丁寧

  • libxml

    適用於:Windows 7、Vista、XP SP2 或之後版本

    影響:處理惡意製作的 XML 檔案可能導致應用程式意外終止或執行任意程式碼

    說明:libxml 的 XPath 處理機制存在記憶體損毀問題。處理惡意製作的 XML 檔案可能導致應用程式意外終止或執行任意程式碼。

    CVE-ID

    CVE-2010-4008:Bkis (www.bkis.com) 的 Bui Quang Minh

  • WebKit

    適用於:Windows 7、Vista、XP SP2 或之後版本

    影響:攔截式攻擊可能導致應用程式意外終止或執行任意程式碼

    說明:WebKit 存在多個記憶體損毀問題。透過 iTunes 瀏覽 iTunes Store 的過程中,攔截式攻擊可能導致應用程式意外終止或執行任意程式碼。

    CVE-ID

    CVE-2010-1824:kuzzcc 與 team509 的 wushi (與 TippingPoint Zero Day Initiative 合作)

    CVE-2011-0111:Sergey Glazunov

    CVE-2011-0112:Google Inc. 的 Yuzo Fujishima

    CVE-2011-0113:Nokia 的 Andreas Kling

    CVE-2011-0114:Google Chrome 安全小組的 Chris Evans

    CVE-2011-0115:與 TippingPoint's Zero Day Initiative 合作的 J23 以及 Google, Inc 的 Emil A Eklund

    CVE-2011-0116:與 TippingPoint's Zero Day Initiative 合作的匿名研究員

    CVE-2011-0117:Google, Inc. 的 Abhishek Arya (Inferno)

    CVE-2011-0118:Google, Inc. 的 Abhishek Arya (Inferno)

    CVE-2011-0119:Google, Inc. 的 Abhishek Arya (Inferno)

    CVE-2011-0120:Google, Inc. 的 Abhishek Arya (Inferno)

    CVE-2011-0121:Google, Inc. 的 Abhishek Arya (Inferno)

    CVE-2011-0122:Slawomir Blazek

    CVE-2011-0123:Google, Inc. 的 Abhishek Arya (Inferno)

    CVE-2011-0124:Google Inc. 的 Yuzo Fujishima

    CVE-2011-0125:Google, Inc. 的 Abhishek Arya (Inferno)

    CVE-2011-0126:Google, Inc. 的 Mihai Parparita

    CVE-2011-0127:Google, Inc. 的 Abhishek Arya (Inferno)

    CVE-2011-0128:David Bloom

    CVE-2011-0129:Famlam

    CVE-2011-0130:Apple

    CVE-2011-0131:team509 的 wushi

    CVE-2011-0132: team509 的 wushi (與 TippingPoint Zero Day Initiative 合作)

    CVE-2011-0133: team509 的 wushi (與 TippingPoint Zero Day Initiative 合作)

    CVE-2011-0134:Jan Tosovsky

    CVE-2011-0135:匿名研究員

    CVE-2011-0136:Sergey Glazunov

    CVE-2011-0137:Sergey Glazunov

    CVE-2011-0138:kuzzcc

    CVE-2011-0139:kuzzcc

    CVE-2011-0140:Sergey Glazunov

    CVE-2011-0141:Matasano Security 的 Chris Rohlf

    CVE-2011-0142:Google, Inc. 的 Abhishek Arya (Inferno)

    CVE-2011-0143:Slawomir Blazek 與 Sergey Glazunov

    CVE-2011-0144:Google, Inc. 的 Emil A Eklund

    CVE-2011-0145:Google, Inc. 的 Abhishek Arya (Inferno)

    CVE-2011-0146:Google, Inc. 的 Abhishek Arya (Inferno)

    CVE-2011-0147:Dirk Schulze

    CVE-2011-0148:Google, Inc. 的 Michal Zalewski

    CVE-2011-0149:team509 的 wushi (與 TippingPoint Zero Day Initiative 合作) 以及 Google Chrome 安全小組的 SkyLined

    CVE-2011-0150:safariadblock.com 的 Michael Gundlach

    CVE-2011-0151:Google, Inc. 的 Abhishek Arya (Inferno)

    CVE-2011-0152:Google Chrome 安全小組的 SkyLined

    CVE-2011-0153:Google, Inc. 的 Abhishek Arya (Inferno)

    CVE-2011-0154:與 TippingPoint's Zero Day Initiative 合作的匿名研究員

    CVE-2011-0155:OUSPG 的 Aki Helin

    CVE-2011-0156:Google, Inc. 的 Abhishek Arya (Inferno)

    CVE-2011-0165:Sergey Glazunov

    CVE-2011-0168:Sergey Glazunov

重要事項:提及的第三方網站和產品僅供參考,並不構成建議或推薦。Apple 對於第三方網站的資料或產品之選擇、效能或使用概不負責。Apple 僅為方便旗下產品的使用者而提供有關資料。Apple 並未測試此等網站上的資料,對其準確或可靠程度概不作任何聲明。使用互聯網上的任何資料或產品均存在固有風險,Apple 概不就此承擔任何責任。請明白第三方網站乃獨立於 Apple,而 Apple 對有關網站的內容並無控制權。詳情請聯絡供應商查詢。

發佈日期: