Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του iTunes 12.10.1 για Windows
Σε αυτό το έγγραφο περιγράφεται το περιεχόμενο ασφάλειας του iTunes 12.10.1 για Windows.
Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
iTunes 12.10.1 για Windows
CoreCrypto
Διατίθεται για: Windows 7 και νεότερες εκδόσεις
Αποτέλεσμα: Η επεξεργασία μιας εισαγωγής μεγάλου μεγέθους μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2019-8741: Nicky Mouha της NIST
CoreMedia
Διατίθεται για: Windows 7 και νεότερες εκδόσεις
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2019-8825: Εντοπίστηκε από GWP-ASan στο Google Chrome
Υποδομή
Διατίθεται για: Windows 7 και νεότερες εκδόσεις
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2019-8746: natashenka και Samuel Groß του Google Project Zero
libxml2
Διατίθεται για: Windows 7 και νεότερες εκδόσεις
Αποτέλεσμα: Πολλαπλά προβλήματα στο libxml2
Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένη επαλήθευση εισόδου.
CVE-2019-8749: εντοπίστηκε από OSS-Fuzz
CVE-2019-8756: εντοπίστηκε από OSS-Fuzz
libxslt
Διατίθεται για: Windows 7 και νεότερες εκδόσεις
Αποτέλεσμα: Πολλαπλά προβλήματα στο libxslt
Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένη επαλήθευση εισόδου.
CVE-2019-8750: εντοπίστηκε από OSS-Fuzz
UIFoundation
Διατίθεται για: Windows 7 και νεότερες εκδόσεις
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου κειμένου μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με τη βελτίωση του ελέγχου ορίων.
CVE-2019-8745: riusksk της VulWar Corp σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
WebKit
Διατίθεται για: Windows 7 και νεότερες εκδόσεις
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2019-8625: Sergei Glazunov του Google Project Zero
CVE-2019-8719: Sergei Glazunov του Google Project Zero
CVE-2019-8764: Sergei Glazunov του Google Project Zero
WebKit
Διατίθεται για: Windows 7 και νεότερες εκδόσεις
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8707: ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro, cc σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2019-8710: εντοπίστηκε από OSS-Fuzz
CVE-2019-8726: Jihui Lu του Tencent KeenLab
CVE-2019-8728: Junho Jang της LINE Security Team και Hanul Choi της ABLY Corporation
CVE-2019-8733: Sergei Glazunov του Google Project Zero
CVE-2019-8734: εντοπίστηκε από OSS-Fuzz
CVE-2019-8735: G. Geshev σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2019-8743: zhunki από την ομάδα Codesafe της Legendsec στην Qi'anxin Group
CVE-2019-8751: Dongzhuo Zhao σε συνεργασία με το ADLab της Venustech
CVE-2019-8752: Dongzhuo Zhao σε συνεργασία με το ADLab της Venustech
CVE-2019-8763: Sergei Glazunov του Google Project Zero
CVE-2019-8765: Samuel Groß του Google Project Zero
CVE-2019-8766: εντοπίστηκε από OSS-Fuzz
CVE-2019-8773: εντοπίστηκε από OSS-Fuzz
WebKit
Διατίθεται για: Windows 7 και νεότερες εκδόσεις
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε με βελτιωμένη λογική.
CVE-2019-8762: Sergei Glazunov του Google Project Zero
Επιπλέον αναγνώριση
Ενημέρωση λογισμικού
Θα θέλαμε να ευχαριστήσουμε τον Michael Gorelik (@smgoreli) του Morphisec (morphisec.com) για τη βοήθειά του.
WebKit
Θα θέλαμε να ευχαριστήσουμε τους MinJeong Kim του Information Security Lab του Chungnam National University, JaeCheol Ryou του Information Security Lab του Chungnam National University στη Νότια Κορέα, Yiğit Can YILMAZ (@yilmazcanyigit), Zhihua Yao του DBAPPSecurity Zion Lab για τη βοήθειά τους.
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.