Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iTunes 12.9 για Windows

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του iTunes 12.9 για Windows.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

iTunes 12.9 για Windows

CFNetwork

Διατίθεται για: Windows 7 και νεότερες εκδόσεις

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4126: Bruno Keith (@bkth_) σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CoreFoundation

Διατίθεται για: Windows 7 και νεότερες εκδόσεις

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2018-4414: Το National Cyber Security Centre (NCSC) του Ηνωμένου Βασιλείου

CoreFoundation

Διατίθεται για: Windows 7 και νεότερες εκδόσεις

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2018-4412: Το National Cyber Security Centre (NCSC) του Ηνωμένου Βασιλείου

CoreText

Διατίθεται για: Windows 7 και νεότερες εκδόσεις

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου κειμένου μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2018-4347: Vasyl Tkachuk της Readdle

WebKit

Διατίθεται για: Windows 7 και νεότερες εκδόσεις

Αποτέλεσμα: Απρόσμενη αλληλεπίδραση προκαλεί το σφάλμα ASSERT

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2018-4191: εντοπίστηκε από OSS-Fuzz

WebKit

Διατίθεται για: Windows 7 και νεότερες εκδόσεις

Αποτέλεσμα: Τα σφάλματα ασφάλειας μεταξύ προελεύσεων περιλαμβάνουν την προέλευση του πλαισίου στο οποίο πραγματοποιήθηκε η πρόσβαση

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με την κατάργηση των πληροφοριών προέλευσης.

CVE-2018-4311: Erling Alf Ellingsen (@steike)

WebKit

Διατίθεται για: Windows 7 και νεότερες εκδόσεις

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2018-4316: crixer, Hanming Zhang (@4shitak4) της ομάδας Qihoo 360 Vulcan Team

WebKit

Διατίθεται για: Windows 7 και νεότερες εκδόσεις

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4299: Samuel Groβ (saelo) σε συνεργασία με το Zero Day Initiative της Trend Micro

CVE-2018-4323: Ivan Fratric του Google Project Zero

CVE-2018-4328: Ivan Fratric του Google Project Zero

CVE-2018-4358: @phoenhex team (@bkth_ @5aelo @_niklasb) σε συνεργασία με το Zero Day Initiative της Trend Micro

CVE-2018-4359: Samuel Groß (@5aelo)

CVE-2018-4360: William Bowling (@wcbowling)

WebKit

Διατίθεται για: Windows 7 και νεότερες εκδόσεις

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος μπορεί να προκαλέσει μη αναμενόμενη συμπεριφορά μεταξύ προελεύσεων

Περιγραφή: Υπήρχε πρόβλημα μεταξύ προελεύσεων με στοιχεία iframe. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο εντοπισμό των προελεύσεων ασφάλειας.

CVE-2018-4319: John Pettitt της Google

WebKit

Διατίθεται για: Windows 7 και νεότερες εκδόσεις

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να μπορεί να εκτελεί σενάρια στο περιβάλλον ενός άλλου ιστότοπου

Περιγραφή: Υπήρχε πρόβλημα σεναρίου μεταξύ ιστότοπων στο Safari. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση διευθύνσεων URL.

CVE-2018-4309: ένας ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

WebKit

Διατίθεται για: Windows 7 και νεότερες εκδόσεις

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2018-4197: Ivan Fratric του Google Project Zero

CVE-2018-4306: Ivan Fratric του Google Project Zero

CVE-2018-4312: Ivan Fratric του Google Project Zero

CVE-2018-4314: Ivan Fratric του Google Project Zero

CVE-2018-4315: Ivan Fratric του Google Project Zero

CVE-2018-4317: Ivan Fratric του Google Project Zero

CVE-2018-4318: Ivan Fratric του Google Project Zero

WebKit

Διατίθεται για: Windows 7 και νεότερες εκδόσεις

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να αποσπάσει δεδομένα εικόνων μεταξύ προελεύσεων

Περιγραφή: Υπήρχε πρόβλημα σεναρίου μεταξύ ιστότοπων στο Safari. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση διευθύνσεων URL.

CVE-2018-4345: Jun Kokatsu (@shhnjk)

WebKit

Διατίθεται για: Windows 7 και νεότερες εκδόσεις

Αποτέλεσμα: Απρόσμενη αλληλεπίδραση προκαλεί το σφάλμα ASSERT

Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4361: εντοπίστηκε από το OSS-Fuzz

CVE-2018-4474: εντοπίστηκε από το OSS-Fuzz

Επιπλέον αναγνώριση

SQLite

Θα θέλαμε να ευχαριστήσουμε τον Andreas Kurtz (@aykay) του NESO Security Labs GmbH για τη βοήθειά του.

WebKit

Θα θέλαμε να ευχαριστήσουμε τους Cary Hartline και Hanming Zhang από την ομάδα 360 Vulcan του Tencent Keen Security Lab, που συνεργάστηκαν με το πρόγραμμα Zero Day Initiative της Trend Micro, και τον Zach Malone από τη CA Technologies για τη βοήθειά τους.