Informace o bezpečnostním obsahu iTunes 12.10.5 pro Windows
Tento dokument popisuje bezpečnostní obsah iTunes 12.10.5 pro Windows.
Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
iTunes 12.10.5 pro Windows
libxml2
K dispozici pro: Windows 7 a novější
Dopad: Několik problémů v knihovně libxml2.
Popis: Problém s přetečením zásobníku byl vyřešen vylepšením ověřování velikosti.
CVE-2020-3910: LGTM.com
libxml2
K dispozici pro: Windows 7 a novější
Dopad: Několik problémů v knihovně libxml2.
Popis: Problém s přetečením zásobníku byl vyřešen vylepšením kontroly rozsahu.
CVE-2020-3909: LGTM.com
CVE-2020-3911: nalezeno programem OSS-Fuzz
WebKit
K dispozici pro: Windows 7 a novější
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém se záměnou typů byl vyřešen vylepšením správy paměti.
CVE-2020-3901: Benjamin Randazzo (@____benjamin)
WebKit
K dispozici pro: Windows 7 a novější
Dopad: Může být nesprávně přidružen původ stahování.
Popis: Problém v logice byl vyřešen vylepšením omezení.
CVE-2020-3887: Ryan Pickren (ryanpickren.com)
WebKit
K dispozici pro: Windows 7 a novější
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2020-3895: grigoritchy
CVE-2020-3900: Dongzhuo Zhao ve spolupráci s týmem ADLab společnosti Venustech
WebKit
K dispozici pro: Windows 7 a novější
Dopad: Aplikaci se může podařit číst vyhrazenou paměť.
Popis: Problém se souběhem byl vyřešen dodatečným ověřováním.
CVE-2020-3894: Sergei Glazunov z týmu Google Project Zero
WebKit
K dispozici pro: Windows 7 a novější
Dopad: Vzdálenému útočníkovi se může podařit spustit libovolný kód.
Popis: Problém se záměnou typů byl vyřešen vylepšením správy paměti.
CVE-2020-3897: Brendan Draper (@6r3nd4n) ve spolupráci se Zero Day Initiative společnosti Trend Micro
WebKit
K dispozici pro: Windows 7 a novější
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění kódu
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2020-9783: Apple
WebKit
K dispozici pro: Windows 7 a novější
Dopad: Vzdálenému útočníkovi se může podařit spustit libovolný kód.
Popis: Problém se spotřebou paměti byl vyřešen vylepšením správy paměti.
CVE-2020-3899: nalezeno programem OSS-Fuzz
WebKit
K dispozici pro: Windows 7 a novější
Dopad: Zpracování škodlivého webového obsahu může vést k útoku skriptováním napříč weby.
Popis: Problém s ověřováním vstupů byl vyřešen vylepšením ověřování vstupů.
CVE-2020-3902: Yiğit Can YILMAZ (@yilmazcanyigit)
Načítání stránek ve WebKitu
K dispozici pro: Windows 7 a novější
Dopad: Může být nesprávně zpracováno URL souboru.
Popis: Problém v logice byl vyřešen vylepšením omezení.
CVE-2020-3885: Ryan Pickren (ryanpickren.com)
Další poděkování
WebKit
Poděkování za pomoc zaslouží Emilio Cobos Álvarez z Mozilly, Samuel Groß z týmu Google Project Zero a hearmen.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.