關於 iTunes 10.5 的保安內容
本文說明 iTunes 10.5 的保安內容。
為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。如要進一步了解 Apple 產品的保安,請參閱 Apple 產品保安網站。
如需 Apple 產品安全性 PGP 金鑰的相關資料,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。
在可能的情況下,CVE ID 會用於參照保安漏洞,以提供進一步資料。
如要了解其他保安更新,請參閱「Apple 保安更新」一文。
iTunes 10.5
CoreFoundation
適用於:Windows 7、Vista、XP SP2 或之後版本。
影響:攔截式攻擊可能導致應用程式意外終止或執行任意程式碼。
說明:處理字串標記化時出現記憶體損毀問題。此問題不會影響 OS X Lion 系統。對於 Mac OS X v10.6 系統,此問題已透過保安更新 2011-006 得到處理。
CVE-ID
CVE-2011-0259:Apple。
ColorSync
適用於:Windows 7、Vista、XP SP2 或之後版本。
影響:檢視惡意製作且內嵌「色彩同步」描述檔的影像可能導致 app 意外終止或執行任意程式碼。
說明:處理內嵌「色彩同步」描述檔的影像時出現整數溢位,因而可能導致堆疊緩衝區溢位問題。開啟惡意製作並內嵌 ColorSync 描述檔的影像,可能導致應用程式意外終止或執行任意程式碼。此問題不會影響 OS X Lion 系統。
CVE-ID
CVE-2011-0200:binaryproof (與 TippingPoint Zero Day Initiative 合作)。
CoreAudio
適用於:Windows 7、Vista、XP SP2 或之後版本。
影響:播放惡意製作的音訊內容可能導致應用程式意外終止或執行任意程式碼。
說明:處理使用進階音訊程式碼編碼的音訊串流時,出現緩衝區溢位問題。此問題不會影響 OS X Lion 系統。
CVE-ID
CVE-2011-3252:Luigi Auriemma (與 TippingPoint Zero Day Initiative 合作)。
CoreMedia
適用於:Windows 7、Vista、XP SP2 或之後版本。
影響:檢視惡意製作的影片檔案可能導致應用程式意外終止或執行任意程式碼。
說明:處理 H.264 編碼影片檔案時,出現緩衝區溢位問題。針對 OS X Lion 系統,此問題已在 OS X Lion v10.7.2 中得到處理。針對 Mac OS X v10.6 系統,此問題則已透過保安更新 2011-006 得到處理。
CVE-ID
CVE-2011-3219:Damian Put (與 TippingPoint Zero Day Initiative 合作)。
ImageIO
適用於:Windows 7、Vista、XP SP2 或之後版本。
影響:檢視惡意製作的 TIFF 影像時,可能導致應用程式意外終止或執行任意程式碼.
說明:ImageIO 處理 TIFF 影像時,出現堆疊緩衝區溢位問題。此問題不會影響 OS X Lion 系統。在 Mac OS X v10.6 系統中,此問題已於 Mac OS X v10.6.8 中解決。
CVE-ID
CVE-2011-0204:NGS Secure 的 Dominic Chell。
ImageIO
適用於:Windows 7、Vista、XP SP2 或之後版本。
影響:檢視惡意製作的 TIFF 影像時,可能導致應用程式意外終止或執行任意程式碼.
說明:ImageIO 處理 TIFF 影像時,出現可重入問題。此問題不會影響 Mac OS X 系統。
CVE-ID
CVE-2011-0215:Juan Pablo Lopez Yacubian (與 iDefense VCP 合作)。
WebKit
適用於:Windows 7、Vista、XP SP2 或之後版本
影響:透過 iTunes 瀏覽 iTunes Store 時遇到攔截式攻擊,可能導致應用程式意外終止或執行任意程式碼。
說明:WebKit 有多個記憶體損毀問題。
CVE-ID
CVE-2010-1823:Microsoft 和 Microsoft Vulnerability Research (MSVR) 的 David Weston、team509 的 wushi,以及 Research In Motion Ltd 的 Yong Li。
CVE-2011-0164:Apple。
CVE-2011-0218:Google Chrome Security Team 的 SkyLined。
CVE-2011-0221:Google Chrome Security Team 的 Abhishek Arya (Inferno)。
CVE-2011-0222:CISS Research Team 的 Nikita Tarakanov 和 Alex Bazhanyuk,以及 Google Chrome Security Team 的 Abhishek Arya (Inferno)。
CVE-2011-0223:spa-s3c.blogspot.com 的 Jose A. Vazquez (與 iDefense VCP 合作)。
CVE-2011-0225:Google Chrome 安全小組的 Abhishek Arya (Inferno)。
CVE-2011-0232:與 TippingPoint 的 Zero Day Initiative 計劃合作的 J23.
CVE-2011-0233:與 TippingPoint Zero Day Initiative 計劃合作的 team509 小組成員 wushi.
CVE-2011-0234:Rob King (與 TippingPoint Zero Day Initiative 合作)、team509 的 wushi (與 TippingPoint Zero Day Initiative 合作)、team509 的 wushi (與 iDefense VCP 合作)。
CVE-2011-0235:Google Chrome 安全小組的 Abhishek Arya (Inferno)。
CVE-2011-0237:team509 的 wushi (與 iDefense VCP 合作)。
CVE-2011-0238:Google Chrome 安全小組的 Adam Barth.
CVE-2011-0240:與 iDefense VCP 合作的 team509 小組成員 wushi。
CVE-2011-0253:Richard Keen。
CVE-2011-0254:與 TippingPoint 的 Zero Day Initiative 計劃合作的匿名研究員.
CVE-2011-0255:匿名研究員 (與 TippingPoint Zero Day Initiative 合作)。
CVE-2011-0981:Adobe Systems, Inc 的 Rik Cabanier。
CVE-2011-0983:Martin Barbella。
CVE-2011-1109:Sergey Glazunov.
CVE-2011-1114:Martin Barbella.
CVE-2011-1115:Martin Barbella.
CVE-2011-1117:team509 的 wushi。
CVE-2011-1121:miaubiz.
CVE-2011-1188:Martin Barbella.
CVE-2011-1203:Sergey Glazunov.
CVE-2011-1204:Sergey Glazunov.
CVE-2011-1288:Nokia 的 Andreas Kling.
CVE-2011-1293:Sergey Glazunov.
CVE-2011-1296:Sergey Glazunov.
CVE-2011-1440:spa-s3c.blogspot.com 的 Jose A. Vazquez。
CVE-2011-1449:Marek Majkowski.
CVE-2011-1451:Sergey Glazunov.
CVE-2011-1453:team509 的 wushi (與 TippingPoint Zero Day Initiative 合作)。
CVE-2011-1457:Google 的 John Knottenbelt.
CVE-2011-1462:team509 小組成員 wushi。
CVE-2011-1797:team509 小組成員 wushi。
CVE-2011-2338:Google Chrome Security Team 的 Abhishek Arya (Inferno) (使用 AddressSanitizer)。
CVE-2011-2339:Google Chrome 安全小組的 Cris Neckar.
CVE-2011-2341:Apple。
CVE-2011-2351:miaubiz.
CVE-2011-2352:Apple.
CVE-2011-2354:Apple.
CVE-2011-2356:Google Chrome Security Team 的 Adam Barth 和 Abhishek Arya (使用 AddressSanitizer)。
CVE-2011-2359:miaubiz.
CVE-2011-2788:Samsung 的 Mikolaj Malecki.
CVE-2011-2790:miaubiz.
CVE-2011-2792:miaubiz.
CVE-2011-2797:miaubiz.
CVE-2011-2799:miaubiz.
CVE-2011-2809:Google Chrome 安全小組的 Abhishek Arya (Inferno)。
CVE-2011-2811:Apple。
CVE-2011-2813:Google Chrome 安全小組的 Cris Neckar (使用 AddressSanitizer)
CVE-2011-2814:Google Chrome 安全小組的 Abhishek Arya (Inferno) (使用 AddressSanitizer)。
CVE-2011-2815:Google Chrome 安全小組的 SkyLined。
CVE-2011-2816:Apple.
CVE-2011-2817:Google Chrome 安全小組的 Abhishek Arya (Inferno) (使用 AddressSanitizer)。
CVE-2011-2818:Martin Barbella.
CVE-2011-2820:Google 的 Raman Tenneti 和 Philip Rogers.
CVE-2011-2823:Google Chrome 安全小組的 SkyLined.
CVE-2011-2827:miaubiz.
CVE-2011-2831:Google Chrome 安全小組的 Abhishek Arya (Inferno) (使用 AddressSanitizer)。
CVE-2011-3232:OUSPG 的 Aki Helin.
CVE-2011-3233:Chromium 開發社群的 Sadrul Habib Chowdhury、Google Chrome Security Team 的 Cris Neckar 和 Abhishek Arya (Inferno)。
CVE-2011-3234:miaubiz.
CVE-2011-3235:Chromium 開發社群的 Dimitri Glazkov、Kent Tamura、Dominic Cooney 和 Google Chrome Security Team 的 Abhishek Arya (Inferno)。
CVE-2011-3236:Google Chrome 安全小組的 Abhishek Arya (Inferno) (使用 AddressSanitizer)。
CVE-2011-3237:Dimitri Glazkov、Kent Tamura、Chromium 開發社群的 Dominic Cooney 和 Google Chrome 安全小組的 Abhishek Arya (Inferno)。
CVE-2011-3238:Martin Barbella。
CVE-2011-3239:Slawomir Blazek。
CVE-2011-3241:Apple。
CVE-2011-3244:vkouchna.
WebKit
適用於:Windows 7、Vista、XP SP2 或之後版本。
影響:攔截式攻擊可能導致執行任意程式碼。
說明:WebKit 使用 libxslt 時,出現設定問題。透過 iTunes 瀏覽 iTunes Store 時遇到攔截式攻擊,可能導致攻擊者使用用戶權限建立任意檔案,繼而導致執行任意程式碼。改進 libxslt 保安設定後,已解決此問題。
CVE-ID
CVE-2011-1774:Agarri 的 Nicolas Gregoire。
重要事項:提及的第三方網站和產品僅供參考,並不構成建議或推薦。Apple 對於第三方網站的資料或產品之選擇、效能或使用概不負責。Apple 僅為方便旗下產品的使用者而提供有關資料。Apple 並未測試此等網站上的資料,對其準確或可靠程度概不作任何聲明。使用互聯網上的任何資料或產品均存在固有風險,Apple 概不就此承擔任何責任。請明白第三方網站乃獨立於 Apple,而 Apple 對有關網站的內容並無控制權。詳情請聯絡供應商查詢。