Informazioni sui contenuti di sicurezza di iTunes 10.2

In questo documento vengono descritti i contenuti di sicurezza di iTunes 10.2.

Per proteggere la propria clientela, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un’indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Consulta il sito web dedicato alla sicurezza dei prodotti Apple per ulteriori informazioni in merito.

Per informazioni sulla chiave PGP per la sicurezza dei prodotti Apple, consulta l'articolo Come usare la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, vengono utilizzati gli ID CVE per fornire ulteriori informazioni sulle vulnerabilità.

Per informazioni su altri aggiornamenti di sicurezza, consulta l'articolo che parla degli aggiornamenti di sicurezza Apple.

iTunes 10.2

• ImageIO

  Disponibile per: Windows 7, Vista, XP SP2 o versioni successive

  Impatto: diverse vulnerabilità in libpng

  Descrizione: libpng è aggiornato alla versione 1.4.3 per risolvere diverse vulnerabilità, la più grave delle quali può causare l’esecuzione di codice arbitrario. Per i sistemi con Mac OS X 10.5, questo problema è stato risolto con l'aggiornamento di sicurezza 2010-007. Ulteriori informazioni sono disponibili sul sito web libpng all'indirizzo http://www.libpng.org/pub/png/libpng.html

  CVE-ID

  CVE-2010-1205

  CVE-2010-2249

• ImageIO

  Disponibile per: Windows 7, Vista, XP SP2 o versioni successive

  Impatto: la visualizzazione di un'immagine JPEG pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

  Descrizione: si è verificato un problema di overflow del buffer di heap nella gestione da parte di ImageIO delle immagini JPEG. La visualizzazione di un di immagine JPEG dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

  CVE-ID

  CVE-2011-0170: Andrzej Dyjak in collaborazione con iDefense VCP

• ImageIO

  Disponibile per: Windows 7, Vista, XP SP2 o versioni successive

  Impatto: la visualizzazione di un'immagine XBM pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

  Descrizione: si è verificato un problema di overflow dei numeri interi nella gestione da parte di ImageIO delle immagini XBM. La visualizzazione di un'immagine XBM pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

  CVE-ID

  CVE-2011-0181: Harry Sintonen

• ImageIO

  Disponibile per: Windows 7, Vista, XP SP2 o versioni successive

  Impatto: la visualizzazione di un'immagine TIFF pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

  Descrizione: si è verificato un overflow del buffer nella gestione da parte di libTIFF delle immagini TIFF con codifica JPEG. La visualizzazione di un'immagine TIFF pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

  CVE-ID

  CVE-2011-0191: Apple

• ImageIO

  Disponibile per: Windows 7, Vista, XP SP2 o versioni successive

  Impatto: la visualizzazione di un'immagine TIFF pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

  Description: si è verificato un overflow del buffer nella gestione da parte di libTIFF delle immagini TIFF con codifica CCITT Gruppo 4. La visualizzazione di un'immagine TIFF pericolosa può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

  CVE-ID

  CVE-2011-0192: Apple

• libxml

  Disponibile per: Windows 7, Vista, XP SP2 o versioni successive

  Impatto: l'elaborazione di un file XML pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

  Descrizione: si è verificato un problema di double free nella gestione da parte di libxml delle espressioni XPath. L'elaborazione di un file XML dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

  CVE-ID

  CVE-2010-4494: Yang Dingning di NCNIPC, Graduate University of Chinese Academy of Sciences

• libxml

  Disponibile per: Windows 7, Vista, XP SP2 o versioni successive

  Impatto: l'elaborazione di un file XML pericoloso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

  Descrizione: si è verificato un problema di danneggiamento della memoria nella gestione di XPath da parte di libxml. L'elaborazione di un file XML dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

  CVE-ID

  CVE-2010-4008: Bui Quang Minh di Bkis (www.bkis.com)

• WebKit

  Disponibile per: Windows 7, Vista, XP SP2 o versioni successive

  Impatto: un attacco man-in-the-middle può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

  Descrizione: si verificano diversi problemi di corruzione della memoria in WebKit. Un attacco man-in-the-middle durante la navigazione sull'iTunes Store via iTunes può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

  CVE-ID

  CVE-2010-1824: kuzzcc e wushi di team509 in collaborazione con Zero Day Initiative di TippingPoint

  CVE-2011-0111: Sergey Glazunov

  CVE-2011-0112: Yuzo Fujishima di Google Inc.

  CVE-2011-0113: Andreas Kling di Nokia

  CVE-2011-0114: Chris Evans di Google Chrome Security Team

  CVE-2011-0115: J23 in collaborazione con Zero Day Initiative di TippingPoint e Emil A Eklund di Google, Inc

  CVE-2011-0116: un ricercatore anonimo in collaborazione con Zero Day Initiative di TippingPoint

  CVE-2011-0117: Abhishek Arya (Inferno) di Google, Inc.

  CVE-2011-0118: Abhishek Arya (Inferno) di Google, Inc.

  CVE-2011-0119: Abhishek Arya (Inferno) di Google, Inc.

  CVE-2011-0120: Abhishek Arya (Inferno) di Google, Inc.

  CVE-2011-0121: Abhishek Arya (Inferno) di Google, Inc.

  CVE-2011-0122: Slawomir Blazek

  CVE-2011-0123: Abhishek Arya (Inferno) di Google, Inc.

  CVE-2011-0124: Yuzo Fujishima di Google Inc.

  CVE-2011-0125: Abhishek Arya (Inferno) di Google, Inc.

  CVE-2011-0126: Mihai Parparita di Google, Inc.

  CVE-2011-0127: Abhishek Arya (Inferno) di Google, Inc.

  CVE-2011-0128: David Bloom

  CVE-2011-0129: Famlam

  CVE-2011-0130: Apple

  CVE-2011-0131: wushi di team509

  CVE-2011-0132: wushi di team509 in collaborazione con Zero Day Initiative di TippingPoint

  CVE-2011-0133: wushi di team509 in collaborazione con Zero Day Initiative di TippingPoint

  CVE-2011-0134: Jan Tosovsky

  CVE-2011-0135: un reporter anonimo

  CVE-2011-0136: Sergey Glazunov

  CVE-2011-0137: Sergey Glazunov

  CVE-2011-0138: kuzzcc

  CVE-2011-0139: kuzzcc

  CVE-2011-0140: Sergey Glazunov

  CVE-2011-0141: Chris Rohlf di Matasano Security

  CVE-2011-0142: Abhishek Arya (Inferno) di Google, Inc.

  CVE-2011-0143: Slawomir Blazek e Sergey Glazunov

  CVE-2011-0144: Emil A Eklund di Google, Inc.

  CVE-2011-0145: Abhishek Arya (Inferno) di Google, Inc.

  CVE-2011-0146: Abhishek Arya (Inferno) di Google, Inc.

  CVE-2011-0147: Dirk Schulze

  CVE-2011-0148: Michal Zalewski di Google, Inc.

  CVE-2011-0149: wushi di team509 in collaborazione con Zero Day Initiative di TippingPoint e SkyLined di Google Chrome Security Team

  CVE-2011-0150: Michael Gundlach di safariadblock.com

  CVE-2011-0151: Abhishek Arya (Inferno) di Google, Inc.

  CVE-2011-0152: SkyLined di Google Chrome Security Team

  CVE-2011-0153: Abhishek Arya (Inferno) di Google, Inc.

  CVE-2011-0154: un ricercatore anonimo in collaborazione con Zero Day Initiative di TippingPoint

  CVE-2011-0155: Aki Helin di OUSPG

  CVE-2011-0156: Abhishek Arya (Inferno) di Google, Inc.

  CVE-2011-0165: Sergey Glazunov

  CVE-2011-0168: Sergey Glazunov