Acerca del contenido de seguridad de iTunes 12.9 para Windows

En este documento, se describe el contenido de seguridad de iTunes 12.9 para Windows.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.

Para obtener más información sobre la seguridad, consulta la página de seguridad de los productos Apple. Puedes encriptar las comunicaciones con Apple mediante la clave PGP de seguridad de los productos Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

iTunes 12.9 para Windows

CFNetwork

Disponible para Windows 7 y posteriores

Impacto: Una app podía ejecutar código arbitrario con privilegios del sistema.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2018-4126: Bruno Keith (@bkth_) en colaboración con la iniciativa Zero Day de Trend Micro

CoreFoundation

Disponible para Windows 7 y posteriores

Impacto: Una app podía obtener privilegios elevados.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.

CVE-2018-4414: National Cyber Security Centre (NCSC) del Reino Unido

CoreFoundation

Disponible para Windows 7 y posteriores

Impacto: Una app creada con fines malintencionados podía elevar privilegios.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.

CVE-2018-4412: National Cyber Security Centre (NCSC) del Reino Unido

CoreText

Disponible para Windows 7 y posteriores

Impacto: El procesamiento de un archivo de texto creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de uso después de liberación mejorando la administración de la memoria.

CVE-2018-4347: Vasyl Tkachuk de Readdle

WebKit

Disponible para Windows 7 y posteriores

Impacto: Una interacción inesperada podía provocar la falla de un ASSERT.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación.

CVE-2018-4191: Detectado por OSS-Fuzz

WebKit

Disponible para Windows 7 y posteriores

Impacto: Entre los errores de seguridad de origen cruzado, se incluía el origen del marco al que se accedía.

Descripción: Este problema se solucionó eliminando la información del origen.

CVE-2018-4311: Erling Alf Ellingsen (@steike)

WebKit

Disponible para Windows 7 y posteriores

Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados ocasione la ejecución de código arbitrario

Descripción: Se solucionó un problema de daños en la memoria mejorando la administración de estados.

CVE-2018-4316: crixer, Hanming Zhang (@4shitak4) de equipo Qihoo 360 Vulcan

WebKit

Disponible para Windows 7 y posteriores

Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados pueda ocasionar la ejecución de código arbitrario

Descripción: Se solucionaron varios problemas de daños en la memoria mejorando el manejo de la memoria.

CVE-2018-4299: Samuel Groβ (saelo) en colaboración con la iniciativa Zero Day de Trend Micro

CVE-2018-4323: Ivan Fratric de Google Project Zero

CVE-2018-4328: Ivan Fratric de Google Project Zero

CVE-2018-4358: Equipo @phoenhex (@bkth_ @5aelo @_niklasb) en colaboración con la iniciativa Zero Day de Trend Micro

CVE-2018-4359: Samuel Groß (@5aelo)

CVE-2018-4360: William Bowling (@wcbowling)

WebKit

Disponible para Windows 7 y posteriores

Impacto: Un sitio web creado con fines malintencionados podía provocar un comportamiento inesperado de origen cruzado.

Descripción: Existía un problema de origen cruzado con los elementos de iFrame. Este problema se solucionó mejorando el seguimiento de los orígenes de seguridad.

CVE-2018-4319: John Pettitt de Google

WebKit

Disponible para Windows 7 y posteriores

Impacto: Un sitio web creado con fines malintencionados podía ejecutar scripts en el contexto de otro sitio web.

Descripción: Existía un problema de secuencias de comandos entre sitios en Safari. Este problema se solucionó mejorando la validación de URL.

CVE-2018-4309: Un investigador anónimo en colaboración con la iniciativa Zero Day de Trend Micro

WebKit

Disponible para Windows 7 y posteriores

Impacto: Es posible que el procesamiento de contenido web creado con fines malintencionados ocasione la ejecución de código arbitrario

Descripción: Se solucionó un problema de uso después de liberación mejorando la administración de la memoria.

CVE-2018-4197: Ivan Fratric de Google Project Zero

CVE-2018-4306: Ivan Fratric de Google Project Zero

CVE-2018-4312: Ivan Fratric de Google Project Zero

CVE-2018-4314: Ivan Fratric de Google Project Zero

CVE-2018-4315: Ivan Fratric de Google Project Zero

CVE-2018-4317: Ivan Fratric de Google Project Zero

CVE-2018-4318: Ivan Fratric de Google Project Zero

WebKit

Disponible para Windows 7 y posteriores

Impacto: Un sitio web creado con fines malintencionados podía exfiltrar orígenes cruzados de datos de imágenes.

Descripción: Existía un problema de secuencias de comandos entre sitios en Safari. Este problema se solucionó mejorando la validación de URL.

CVE-2018-4345: Jun Kokatsu (@shhnjk)

WebKit

Disponible para Windows 7 y posteriores

Impacto: Una interacción inesperada podía provocar la falla de un ASSERT.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2018-4361: Detectado por OSS-Fuzz

CVE-2018-4474: Detectado por OSS-Fuzz

Otros agradecimientos

SQLite

Nos gustaría darle las gracias a Andreas Kurtz (@aykay) de NESO Security Labs GmbH por su ayuda.

WebKit

Nos gustaría darle las gracias a Cary Hartline, Hanming Zhang del equipo 360 Vulcan, Tencent Keen Security Lab en colaboración con la iniciativa Zero Day de Trend Micro y Zach Malone de CA Technologies por su ayuda.