Informace o bezpečnostním obsahu iTunes 10.2
Tenhle dokument popisuje bezpečnostní obsah iTunes 10.2.
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.
Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.
Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.
Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.
iTunes 10.2
ImageIO
K dispozici pro: Windows 7, Vista, XP SP2 nebo novější
Dopad: Několik bezpečnostních slabin v knihovně libpng
Popis: Knihovna libpng je aktualizována na verzi 1.4.3, která řeší několik bezpečnostních slabin, přičemž nejzávažnější z nich může vést ke spuštění libovolného kódu. U systémů Mac OS X 10.5 je tenhle problém vyřešen v bezpečnostní aktualizaci 2010-007. Další informace jsou k dispozici na webu knihovny libpng na adrese http://www.libpng.org/pub/png/libpng.html
CVE-ID
CVE-2010-1205
CVE-2010-2249
ImageIO
K dispozici pro: Windows 7, Vista, XP SP2 nebo novější
Dopad: Zobrazení škodlivého obrázku JPEG může vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Ve zpracovávání obrázků JPEG třídou ImageIO docházelo k přetečení haldy vyrovnávací paměti. Zobrazení škodlivého obrázku JPEG může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
CVE-ID
CVE-2011-0170: Andrzej Dyjak spolupracující s iDefense VCP
ImageIO
K dispozici pro: Windows 7, Vista, XP SP2 nebo novější
Dopad: Zobrazení škodlivého obrázku XBM může vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Ve zpracovávání obrázků XBM třídou ImageIO docházelo k přetečení celých čísel. Zobrazení škodlivého obrázku XBM může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
CVE-ID
CVE-2011-0181: Harry Sintonen
ImageIO
K dispozici pro: Windows 7, Vista, XP SP2 nebo novější
Dopad: Zobrazení škodlivého obrázku TIFF může vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Ve zpracovávání obrázků TIFF s kódováním JPEG knihovnou libTIFF docházelo k přetečení celých čísel. Zobrazení škodlivého obrázku TIFF může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
CVE-ID
CVE-2011-0191: Apple
ImageIO
K dispozici pro: Windows 7, Vista, XP SP2 nebo novější
Dopad: Zobrazení škodlivého obrázku TIFF může vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Ve zpracovávání obrázků TIFF s kódováním CCITT Group 4 knihovnou libTIFF docházelo k přetečení celých čísel. Zobrazení škodlivého obrázku TIFF může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
CVE-ID
CVE-2011-0192: Apple
libxml
K dispozici pro: Windows 7, Vista, XP SP2 nebo novější
Dopad: Zpracování škodlivého XML souboru může vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Ve zpracovávání výrazů XPath knihovnou libxml docházelo k problému s dvojitým uvolněním paměti. Zpracování škodlivého XML souboru může vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.
CVE-ID
CVE-2010-4494: Yang Dingning z Yang Dingning z NCNIPC, Univerzita čínské Akademie věd
libxml
K dispozici pro: Windows 7, Vista, XP SP2 nebo novější
Dopad: Zpracování škodlivého XML souboru může vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Ve zpracovávání výrazů XPath knihovnou libxml docházelo k problému s poškozením paměti. Zpracování škodlivého XML souboru může vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.
CVE-ID
CVE-2010-4008: Bui Quang Minh ze společnosti Bkis (www.bkis.com)
WebKit
K dispozici pro: Windows 7, Vista, XP SP2 a novější
Dopad: Útok typu „man in the middle“ může způsobit neočekávané ukončení aplikace nebo spuštění libovolného kódu.
Popis: Ve WebKitu existovalo několik problémů s poškozením paměti. Útok typu „man in the middle“ při prohlížení iTunes Storu v iTunes mohl způsobit neočekávané ukončení aplikace nebo spuštění libovolného kódu.
CVE-ID
CVE-2010-1824: kuzzcc a wushi ze skupiny team509 spolupracující se Zero Day Initiative společnosti TippingPoint
CVE-2011-0111: Sergey Glazunov
CVE-2011-0112: Yuzo Fujishima ze společnosti Google Inc.
CVE-2011-0113: Andreas Kling ze společnosti Nokia
CVE-2011-0114: Chris Evans z týmu Google Chrome Security
CVE-2011-0115: J23 spolupracující se Zero Day Initiative společnosti TippingPoint a Emil A Eklund ze společnosti Google, Inc.
CVE-2011-0116: anonymní výzkumník spolupracující se Zero Day Initiative společnosti TippingPoint
CVE-2011-0117: Abhishek Arya (Inferno) ze společnosti Google, Inc.
CVE-2011-0118: Abhishek Arya (Inferno) ze společnosti Google, Inc.
CVE-2011-0119: Abhishek Arya (Inferno) ze společnosti Google, Inc.
CVE-2011-0120: Abhishek Arya (Inferno) ze společnosti Google, Inc.
CVE-2011-0121: Abhishek Arya (Inferno) ze společnosti Google, Inc.
CVE-2011-0122: Slawomir Blazek
CVE-2011-0123: Abhishek Arya (Inferno) ze společnosti Google, Inc.
CVE-2011-0124: Yuzo Fujishima ze společnosti Google Inc.
CVE-2011-0125: Abhishek Arya (Inferno) ze společnosti Google, Inc.
CVE-2011-0126: Mihai Parparita ze společnosti Google, Inc.
CVE-2011-0127: Abhishek Arya (Inferno) ze společnosti Google, Inc.
CVE-2011-0128: David Bloom
CVE-2011-0129: Famlam
CVE-2011-0130: Apple
CVE-2011-0131: wushi ze skupiny team509
CVE-2011-0132: wushi ze skupiny team509 spolupracující se Zero Day Initiative společnosti TippingPoint
CVE-2011-0133: wushi ze skupiny team509 spolupracující se Zero Day Initiative společnosti TippingPoint
CVE-2011-0134: Jan Tošovský
CVE-2011-0135: anonymní reportér
CVE-2011-0136: Sergey Glazunov
CVE-2011-0137: Sergey Glazunov
CVE-2011-0138: kuzzcc
CVE-2011-0139: kuzzcc
CVE-2011-0140: Sergey Glazunov
CVE-2011-0141: Chris Rohlf ze společnosti Matasano Security
CVE-2011-0142: Abhishek Arya (Inferno) ze společnosti Google, Inc.
CVE-2011-0143: Slawomir Blazek a Sergey Glazunov
CVE-2011-0144: Emil A Eklund ze společnosti Google, Inc.
CVE-2011-0145: Abhishek Arya (Inferno) ze společnosti Google, Inc.
CVE-2011-0146: Abhishek Arya (Inferno) ze společnosti Google, Inc.
CVE-2011-0147: Dirk Schulze
CVE-2011-0148: Michal Zalewski ze společnosti Google, Inc.
CVE-2011-0149: wushi ze skupiny team509 spolupracující se Zero Day Initiative společnosti TippingPoint a SkyLined z týmu Google Chrome Security
CVE-2011-0150: Michael Gundlach ze safariadblock.com
CVE-2011-0151: Abhishek Arya (Inferno) ze společnosti Google, Inc.
CVE-2011-0152: SkyLined z týmu Google Chrome Security
CVE-2011-0153: Abhishek Arya (Inferno) ze společnosti Google, Inc.
CVE-2011-0154: anonymní výzkumník spolupracující se Zero Day Initiative společnosti TippingPoint
CVE-2011-0155: Aki Helin z OUSPG
CVE-2011-0156: Abhishek Arya (Inferno) ze společnosti Google, Inc.
CVE-2011-0165: Sergey Glazunov
CVE-2011-0168: Sergey Glazunov
Důležité: Zmínky o webových stránkách a produktech třetích stran slouží pouze k informačním účelům a nepředstavují žádnou podporu ani žádné doporučení. Společnost Apple nenese žádnou odpovědnost za výběr, výkon nebo používání informací nebo produktů nalezených na webových stránkách třetích stran. Apple tyto informace poskytuje pouze pro zajištění pohodlí našim uživatelům. Společnost Apple netestovala informace nalezené na těchto stránkách a nečiní žádná prohlášení ohledně jejich přesnosti nebo spolehlivosti. Existují rizika spojená s používáním jakýchkoli informací nebo produktů nalezených na internetu a společnost Apple v tomto ohledu nenese žádnou odpovědnost. Vezměte na vědomí, že weby třetích stran jsou nezávislé na společnosti Apple a že společnost Apple nemá kontrolu nad obsahem takových webů. Pro získání dalších informací kontaktujte dodavatele.