Apple plugs 57 major security holes in iTunes


If you use Apple’s iTunes software — whether on Windows or Mac OS X — it’s important that you immediately apply the latest software update.

만약 아이튠즈를 이용중인 윈도우 혹은 Mac 유저라면 최신버전으로 패치해야 합니다.

Apple has shipped iTuens 10.2 as a highly-critical patch to cover a whopping 57 security vulnerabilities, some serious enough to allow hackers to take complete control of a vulnerable machine.

이번 아이튠즈 10.2는 취약한 기기를 조종할 수 있는 심각한 취약점을 포함한 57개의 취약점을 패치하였습니다.

According to an advisory from Apple, 50 of the 57 flaws were fixed in WebKit, the open-source rendering engine used within the multimedia software.

애플 관계자에 따르면, 57개중 50개는 멀티미디어 소프트웨어의 오픈소스 렌더링 엔진의 문제점 입니다. 

The vulnerabilities could be exploited to launch remote code execution attacks if a user simply opens an image file or surfs to a rigged Web site, Apple warned.

이 취약점은 인터넷을 서핑하거나 단순히 이미지를 여는 것만으로도, 원격 코드가 실행될 수 있습니다. 
follow Ryan Naraine on twitter

Most of the WebKit flaws were reported by Google’s security team and TippingPoint’s ZDI, a third-party broker of vulnerability information.

대부분의 웹 취약점은 구글의 보안팀과 취약점 정보를 연구하는 TippingPoint의 ZDI에서 보고하였습니다.

In addition to the WebKit issue, Apple also fixed the following:

고쳐진 웹 취약점. 

  • ImageIO: libpng is updated to version 1.4.3 to address multiple vulnerabilities, the most serious of which may lead to arbitrary code execution. For Mac OS X v10.5 systems, this is addressed in Security Update 2010-007. Further information is available via the libpng website. (Windows 7, Vista, XP SP2 or later).
  • ImageIO: A heap buffer overflow issue existed in ImageIO’s handling of JPEG images. Viewing a maliciously crafted JPEG image may lead to an unexpected application termination or arbitrary code execution. (Windows 7, Vista, XP SP2 or later).
  • ImageIO: A buffer overflow existed in libTIFF’s handling of JPEG encoded TIFF images. Viewing a maliciously crafted TIFF image may result in an unexpected application termination or arbitrary code execution. (Windows 7, Vista, XP SP2 or later).
  • ImageIO: A buffer overflow existed in libTIFF’s handling of CCITT Group 4 encoded TIFF images. Viewing a maliciously crafted TIFF image may result in an unexpected application termination or arbitrary code execution. (Windows 7, Vista, XP SP2 or later).
  • libxml: A double free issue existed in libxml’s handling of XPath expressions. Processing a maliciously crafted XML file may lead to an unexpected application termination or arbitrary code execution. (Windows 7, Vista, XP SP2 or later).
  • libxml: A memory corruption issue existed in libxml’s XPath handling. Processing a maliciously crafted XML file may lead to an unexpected application termination or arbitrary code execution. (Windows 7, Vista, XP SP2 or later).
  • LibXML의 XPath 핸들러에서 메모리 변조 취약점이 존재하였습니다. 악의적인 XML 파일을 실행할 때 예기치 못한 프로그램 종료 혹은 임의 코드 실행이 발생할 수 있습니다. (Windows 7, Vista, XP SP2 이상 버전)
  • Libpng가 1.4.3 으로 업데이트 되었습니다. MAC v10.5 에서의 임의 코드 실행 취약점과 주소 배수 취약점을 수정하였고, 이름은 2010-007로 명명하였습니다. 더 많은 정보는 Libpng 웹사이트에서 확인할 수 있습니다.
  • Heap 버퍼 플로우 취약점이 ImageIO의 JPEG 핸들러에 존재하였습니다. 악성 JPEG 이미지를 볼 때 예기치 못한 프로그램 종료 혹은 임의 코드 실행이 발생할 수 있습니다. (Windows 7, Vista, XP SP2 이상 버전)
  • LibTIFF를 이용하여 JPEG를 TIFF로 인코딩 하는 과정에서 버퍼플로우 취약점이 존재하였습니다. 악성 TIFF 이미지를 볼 때 예기치 못한 프로그램 종료 혹은 임의 코드 실행이 발생할 수 있습니다. (Windows 7, Vista, XP SP2 이상 버전)
  • LibTIFF를 이용하여 CCITT4를 TIFF로 인코딩 하는 과정에서 버퍼플로우 취약점이 존재하였습니다. 악성 TIFF 이미지를 볼 때 예기치 못한 프로그램 종료 혹은 임의 코드 실행이 발생할 수 있습니다. (Windows 7, Vista, XP SP2 이상 버전)

The company called special attention to a man-in-the-middle attack scenario may lead to an unexpected application termination or arbitrary code execution while a target user is browsing the iTunes Store via iTunes.  This is caused by a vulnerability in WebKit.

아이튠즈를 통해서 스토어를 서핑하는 유저를 타겟으로 하는 예기치 못한 프로그램 종료 혹은 임의 코드 실행 이라는 취약점을 중간자 공격이라고 특별히 부르도록 하였습니다. 

iTunes 10.2 is being pushed out via the Mac OS X and Windows software update mechanisms.  It can also be downloaded directly fromApple’s iTunes web site.

아이튠즈 10.2는 Mac과 Windows 소프트웨어 업데이트를 통해서 받을 수 있고, 아이튠즈 웹사이트에서 직접 다운받으 실 수도 있습니다.

원문: http://www.zdnet.com/blog/security/apple-plugs-57-major-security-holes-in-itunes/8275?tag=mantle_skin;content

+ Recent posts