Informationen zum Sicherheitsinhalt von iTunes 12.5.1 für Windows

In diesem Dokument wird der Sicherheitsinhalt von iTunes 12.5.1 für Windows beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit finden Sie auf der Seite Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

iTunes 12.5.1 für Windows

WebKit

Verfügbar für: Windows 7 und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Web-Inhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Verarbeitung von Fehlerprototypen bestand ein Analyseproblem. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2016-4728: Daniel Divricean

WebKit

Verfügbar für: Windows 7 und neuer

Auswirkung: Durch den Besuch einer schadhaften Website können vertrauliche Daten offengelegt werden

Beschreibung: Bei der Verarbeitung der Location-Variable bestand ein Problem mit Berechtigungen. Dieses Problem wurde durch zusätzliche Eigentümerschaftsüberprüfungen behoben.

CVE-2016-4758: Masato Kinugawa von Cure53

WebKit

Verfügbar für: Windows 7 und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Web-Inhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverarbeitung behoben.

CVE-2016-4759: Tongbo Luo von Palo Alto Networks

CVE-2016-4762: Zheng Huang vom Baidu Security Lab

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

WebKit

Verfügbar für: Windows 7 und neuer

Auswirkung: Eine schadhafte Website kann auf Nicht-HTTP-Dienste zugreifen

Beschreibung: Durch die Unterstützung von HTTP/0.9 in Safari wurden Cross-Protocol-Angriffe auf Nicht-HTTP-Dienste mit DNS-Rebinding ermöglicht. Dieses Problem wurde behoben, indem HTTP/0.9-Antworten auf Standard-Ports eingeschränkt wurden, und durch den Abbruch der Ressourcenladevorgänge, wenn das Dokument mit einer anderen HTTP-Protokollversion geladen wurde.

CVE-2016-4760: Jordan Milne

WebKit

Verfügbar für: Windows 7 und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Web-Inhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2016-4765: Apple

WebKit

Verfügbar für: Windows 7 und neuer

Auswirkung: Ein Angreifer mit einer privilegierten Netzwerkposition kann den Netzwerkverkehr zu Programmen, die WKWebView mit HTTPS verwenden, abfangen und ändern

Beschreibung: Bei der Verwendung von WKWebView bestand ein Problem mit der Zertifikatsüberprüfung. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2016-4763: Ein anonymer Forscher

WebKit

Verfügbar für: Windows 7 und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Web-Inhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2016-4769: Tongbo Luo von Palo Alto Networks

WebKit

Erhältlich für: Erhältlich für: Windows 7 und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Web-Inhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Statusverwaltung behoben.

CVE-2016-4764: Apple