אודות תוכן האבטחה של iTunes 12.7.4 ל-Windows

מסמך זה מתאר את תוכן האבטחה של iTunes 12.7.4 עבור Windows.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.

למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple. ניתן להצפין תקשורת עם Apple באמצעות 'מפתח PGP לאבטחת מוצר' של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

iTunes 12.7.4 ל-Windows

הופץ ב-29 במארס 2018

אבטחה

זמין עבור: Windows 7 ואילך

השפעה: יישום זדוני עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: גלישת חוצץ טופלה ואימות הגודל שופר.

CVE-2018-4144: אברהם מסרי ‏(‎@cheesecakeufo)

WebKit

זמין עבור: Windows 7 ואילך

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.

CVE-2018-4101: יואן דנג מ-Ant-financial Light-Year Security Lab

CVE-2018-4114: התגלה על-ידי OSS-Fuzz

CVE-2018-4118: יון קוקטסו ‏(‎@shhnjk)

CVE-2018-4119: חוקר אנונימי יחד עם Zero Day Initiative של Trend Micro

CVE-2018-4120: הנמינג ז'אנג (‎@4shitak4) מ-Qihoo 360 Vulcan Team

CVE-2018-4121: נטאשנקה מ-Google Project Zero

CVE-2018-4122:‏ WanderingGlitch מ-Zero Day Initiative של Trend Micro

CVE-2018-4125:‏ WanderingGlitch מ-Zero Day Initiative של Trend Micro

CVE-2018-4127: חוקר אנונימי יחד עם Zero Day Initiative של Trend Micro

CVE-2018-4128: זאק מרקלי

CVE-2018-4129:‏ likemeng מ-Baidu Security Lab‏ (xlab.baidu.com) יחד עם Zero Day Initiative של Trend Micro

CVE-2018-4130:‏ Omair יחד עם Zero Day Initiative של Trend Micro

CVE-2018-4161:‏ WanderingGlitch מ-Zero Day Initiative של Trend Micro

CVE-2018-4162:‏ WanderingGlitch מ-Zero Day Initiative של Trend Micro

CVE-2018-4163:‏ WanderingGlitch מ-Zero Day Initiative של Trend Micro

CVE-2018-4165: הנמינג ז'אנג (‎@4shitak4) מ-Qihoo 360 Vulcan Team

WebKit

זמין עבור: Windows 7 ואילך

השפעה: אינטראקציה בלתי צפויה עם סוגי יצירת אינדקס הגורמת לכשל ASSERT

תיאור: הייתה בעיה של יצירת אינדקס מערכים בטיפול בפונקציה ב-javascript core. בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2018-4113: התגלה על-ידי OSS-Fuzz

WebKit

זמין עבור: Windows 7 ואילך

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל למניעת שירות

תיאור: בעיית השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2018-4146: התגלה על-ידי OSS-Fuzz

WebKit

זמין עבור: Windows 7 ואילך

השפעה: אתר אינטרנט זדוני עלול לחלץ מקורות מרובים של נתונים

תיאור: בעיה של מקורות מרובים הייתה קיימת ב-API לשליפה. הבעיה טופלה באמצעות אימות קלט משופר.

CVE-2018-4117: חוקר אנונימי, חוקר אנונימי

WebKit

זמין עבור: Windows 7 ואילך

השפעה: אינטראקציה בלתי צפויה גורמת לכשל ASSERT

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2018-4207: התגלה על-ידי OSS-Fuzz

הרשומה נוספה ב-2 במאי 2018

WebKit

זמין עבור: Windows 7 ואילך

השפעה: אינטראקציה בלתי צפויה גורמת לכשל ASSERT

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2018-4208: התגלה על-ידי OSS-Fuzz

הרשומה נוספה ב-2 במאי 2018

WebKit

זמין עבור: Windows 7 ואילך

השפעה: אינטראקציה בלתי צפויה גורמת לכשל ASSERT

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2018-4209: התגלה על-ידי OSS-Fuzz

הרשומה נוספה ב-2 במאי 2018

WebKit

זמין עבור: Windows 7 ואילך 

השפעה: אינטראקציה בלתי צפויה עם סוגי יצירת אינדקס גרמה לכשל

תיאור: הייתה בעיה של יצירת אינדקס מערכים בטיפול בפונקציה ב-javascript core. בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2018-4210: התגלה על-ידי OSS-Fuzz

הרשומה נוספה ב-2 במאי 2018

WebKit

זמין עבור: Windows 7 ואילך

השפעה: אינטראקציה בלתי צפויה גורמת לכשל ASSERT

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2018-4212: התגלה על-ידי OSS-Fuzz

הרשומה נוספה ב-2 במאי 2018

WebKit

זמין עבור: Windows 7 ואילך

השפעה: אינטראקציה בלתי צפויה גורמת לכשל ASSERT

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2018-4213: התגלה על-ידי OSS-Fuzz

הרשומה נוספה ב-2 במאי 2018

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

תאריך פרסום: