關於 iTunes 10.5 的安全性內容
本文件說明 iTunes 10.5 的安全性內容。
為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要進一步了解 Apple 產品安全性,請參閱 Apple 產品安全性網站。
如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。
如有可能,CVE ID 會用來參考安全漏洞,以取得進一步資訊。
若要了解其他安全性更新,請參閱「Apple 安全性更新」。
iTunes 10.5
CoreFoundation
適用於:Windows 7、Vista、XP SP2 或以上版本。
影響:攔截式攻擊可能導致應用程式意外終止或執行任意程式碼。
說明:處理字串代號化時,出現記憶體損毀問題。此問題不影響 OS X Lion 系統。針對 Mac OS X v10.6 系統,安全性更新 2011-006 已解決此問題。
CVE-ID
CVE-2011-0259:Apple。
ColorSync
適用於:Windows 7、Vista、XP SP2 或以上版本。
影響:檢視惡意製作並內嵌「色彩同步」色彩描述的影像時,可能會導致應用程式意外終止或執行任意程式碼。
說明:處理內嵌「色彩同步」描述檔的影像時,出現整數溢位,因而可能導致堆積緩衝區溢位。開啟惡意製作且內嵌「色彩同步」描述檔的影像可能導致應用程式意外終止或執行任意程式碼。此問題不影響 OS X Lion 系統。
CVE-ID
CVE-2011-0200:與 TippingPoint Zero Day Initiative 計畫合作的 binaryproof。
CoreAudio
適用於:Windows 7、Vista、XP SP2 或以上版本。
影響:播放惡意製作的音訊內容時,可能導致應用程式意外終止或執行任意程式碼。
說明:處理使用進階音訊代碼編碼的音訊串流時,出現緩衝區溢位。此問題不影響 OS X Lion 系統。
CVE-ID
CVE-2011-3252:與 TippingPoint Zero Day Initiative 計畫合作的 Luigi Auriemma。
CoreMedia
適用於:Windows 7、Vista、XP SP2 或以上版本。
影響:檢視惡意製作的影片檔案可能導致應用程式意外終止或執行任意程式碼。
說明:處理 H.264 編碼影片檔案時,出現緩衝區溢位。針對 OS X Lion 系統,此問題已在 OS X Lion v10.7.2 中解決;針對 Mac OS X v10.6 系統,此問題已在安全性更新 2011-006 中解決。
CVE-ID
CVE-2011-3219:與 TippingPoint 的 Zero Day Initiative 計畫合作的 Damian Put。
ImageIO
適用於:Windows 7、Vista、XP SP2 或以上版本。
影響:檢視惡意製作的 TIFF 影像可能導致應用程式意外終止或執行任何程式碼。
說明:ImageIO 處理 TIFF 影像時,出現堆積緩衝區溢位問題。此問題不影響 OS X Lion 系統。針對 Mac OS X v10.6 系統,此問題已在 Mac OS X v10.6.8 中解決。
CVE-ID
CVE-2011-0204:NGS Secure 的 Dominic Chell。
ImageIO
適用於:Windows 7、Vista、XP SP2 或以上版本。
影響:檢視惡意製作的 TIFF 影像可能導致應用程式意外終止或執行任何程式碼。
說明:ImageIO 處理 TIFF 影像時,出現可重入問題。此問題不影響 Mac OS X 系統。
CVE-ID
CVE-2011-0215:與 iDefense VCP 合作的 Juan Pablo Lopez Yacubian。
WebKit
適用於:Windows 7、Vista、XP SP2 或以上版本
影響:透過 iTunes 瀏覽 iTunes Store 時,攔截式攻擊可能導致應用程式意外終止或執行任意程式碼。
說明:WebKit 有多個記憶體損毀問題。
CVE-ID
CVE-2010-1823:Microsoft 和 Microsoft Vulnerability Research(MSVR)的 David Weston、team509 的 wushi 以及 Research In Motion Ltd 的 Yong Li。
CVE-2011-0164:Apple。
CVE-2011-0218:Google Chrome 安全小組的 SkyLined。
CVE-2011-0221:Google Chrome 安全小組的 Abhishek Arya(Inferno)。
CVE-2011-0222:CISS Research Team 的 Nikita Tarakanov 和 Alex Bazhanyuk 以及 Google Chrome 安全小組的 Abhishek Arya(Inferno)。
CVE-2011-0223:與 iDefense VCP 合作的 spa-s3c.blogspot.com 的 Jose A. Vazquez。
CVE-2011-0225:Google Chrome 安全小組的 Abhishek Arya(Inferno)。
CVE-2011-0232:與 TippingPoint Zero Day Initiative 計畫合作的 J23。
CVE-2011-0233:與 TippingPoint Zero Day Initiative 計畫合作的 team509 的 wushi。
CVE-2011-0234:與 TippingPoint Zero Day Initiative 計畫合作的 Rob King、與 TippingPoint Zero Day Initiative 計畫合作的 team509 的 wushi、與 iDefense VCP 合作的 team509 的 wushi。
CVE-2011-0235:Google Chrome 安全小組的 Abhishek Arya(Inferno)。
CVE-2011-0237:與 iDefense VCP 合作之 team509 的 wushi。
CVE-2011-0238:Google Chrome 安全小組的 Adam Barth。
CVE-2011-0240:與 iDefense VCP 合作之 team509 的 wushi。
CVE-2011-0253:Richard Keen。
CVE-2011-0254:與 TippingPoint Zero Day Initiative 計畫合作的匿名研究員。
CVE-2011-0255:與 TippingPoint 的 Zero Day Initiative 計畫合作的匿名研究員。
CVE-2011-0981:Adobe Systems, Inc 的 Rik Cabanier。
CVE-2011-0983:Martin Barbella。
CVE-2011-1109:Sergey Glazunov。
CVE-2011-1114:Martin Barbella。
CVE-2011-1115:Martin Barbella。
CVE-2011-1117:team509 的 wushi。
CVE-2011-1121:miaubiz。
CVE-2011-1188:Martin Barbella。
CVE-2011-1203:Sergey Glazunov。
CVE-2011-1204:Sergey Glazunov。
CVE-2011-1288:Nokia 的 Andreas Kling。
CVE-2011-1293:Sergey Glazunov。
CVE-2011-1296:Sergey Glazunov。
CVE-2011-1440:spa-s3c.blogspot.com 的 Jose A. Vazquez。
CVE-2011-1449:Marek Majkowski。
CVE-2011-1451:Sergey Glazunov。
CVE-2011-1453:與 TippingPoint Zero Day Initiative 計畫合作的 team509 的 wushi。
CVE-2011-1457:Google 的 John Knottenbelt。
CVE-2011-1462:team509 的 wushi。
CVE-2011-1797:team509 的 wushi。
CVE-2011-2338:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)。
CVE-2011-2339:Google Chrome 安全小組的 Cris Neckar。
CVE-2011-2341:Apple。
CVE-2011-2351:miaubiz。
CVE-2011-2352:Apple。
CVE-2011-2354:Apple。
CVE-2011-2356:Google Chrome 安全小組的 Adam Barth 和 Abhishek Arya(使用 AddressSanitizer)。
CVE-2011-2359:miaubiz。
CVE-2011-2788:Samsung 的 Mikolaj Malecki。
CVE-2011-2790:miaubiz。
CVE-2011-2792:miaubiz。
CVE-2011-2797:miaubiz。
CVE-2011-2799:miaubiz。
CVE-2011-2809:Google Chrome 安全小組的 Abhishek Arya(Inferno)。
CVE-2011-2811:Apple。
CVE-2011-2813:Google Chrome 安全小組的 Cris Neckar(使用 AddressSanitizer)。
CVE-2011-2814:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)。
CVE-2011-2815:Google Chrome 安全小組的 SkyLined。
CVE-2011-2816:Apple。
CVE-2011-2817:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)。
CVE-2011-2818:Martin Barbella。
CVE-2011-2820:Google 的 Raman Tenneti 和 Philip Rogers。
CVE-2011-2823:Google Chrome 安全小組的 SkyLined。
CVE-2011-2827:miaubiz。
CVE-2011-2831:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)。
CVE-2011-3232:OUSPG 的 Aki Helin。
CVE-2011-3233:Chromium 開發社群的 Sadrul Habib Chowdhury、Google Chrome 安全小組的 Cris Neckar 和 Abhishek Arya(Inferno)。
CVE-2011-3234:miaubiz。
CVE-2011-3235:Chromium 開發社群的 Dimitri Glazkov、Kent Tamura、Dominic Cooney 以及 Google Chrome 安全小組的 Abhishek Arya(Inferno)。
CVE-2011-3236:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)。
CVE-2011-3237:Chromium 開發社群的 Dimitri Glazkov、Kent Tamura、Dominic Cooney 以及 Google Chrome 安全小組的 Abhishek Arya(Inferno)。
CVE-2011-3238:Martin Barbella。
CVE-2011-3239:Slawomir Blazek。
CVE-2011-3241:Apple。
CVE-2011-3244:vkouchna。
WebKit
適用於:Windows 7、Vista、XP SP2 或以上版本。
影響:攔截式攻擊可能導致執行任意程式碼。
說明:WebKit 使用 libxslt 時,出現設定問題。透過 iTunes 瀏覽 iTunes Store 時,攔截式攻擊可能導致以使用者的權限建立任意檔案,進而可能導致執行任意程式碼。改進 libxslt 安全性設定後,已解決此問題。
CVE-ID
CVE-2011-1774:Agarri 的 Nicolas Gregoire。
重要事項:本文提及的第三方網站與產品資訊僅供參考之用,且不構成背書或建議。對於第三方網站或產品的選擇、效能或使用,Apple 不負任何責任。前述內容僅為方便 Apple 使用者而提供。Apple 尚未測試這些網站上的資訊,對其準確性或可靠性未為任何聲明。使用網際網路上找到的任何資訊或產品有其風險,Apple 不負任何責任。請了解第三方網站與 Apple 各自獨立,Apple 對於該網站的內容不具有控制權。如需其他資訊,請聯絡廠商。