אודות תוכן האבטחה של iTunes 12.9 עבור Windows

מסמך זה מתאר את תוכן האבטחה של iTunes 12.9 עבור Windows.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.

למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple. ניתן להצפין תקשורת עם Apple באמצעות 'מפתח PGP לאבטחת מוצר' של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

iTunes 12.9 עבור Windows

הופץ ב-12 בספטמבר 2018

CFNetwork

זמין עבור: Windows 7 ואילך

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2018-4126: ברונו קיט (@bkth_) בשיתוף פעולה עם Zero Day Initiative של Trend Micro

הערך נוסף ב-30 באוקטובר 2018

CoreFoundation

זמין עבור: Windows 7 ואילך

השפעה: אפליקציה עלולה לקבל הרשאות ברמה גבוהה יותר

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2018-4414: ‏National Cyber Security Centre ‏(NCSC) של בריטניה

הערך נוסף ב-30 באוקטובר 2018

CoreFoundation

זמין עבור: Windows 7 ואילך

השפעה: אפליקציה זדונית עלולה להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2018-4412: ‏National Cyber Security Centre ‏(NCSC) של בריטניה

הערך נוסף ב-30 באוקטובר 2018

CoreText

זמין עבור: Windows 7 ואילך

השפעה: עיבוד קובץ מלל בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2018-4347: ואסיל טקאצ'וק מ-Readdle

הערך נוסף ב-30 באוקטובר 2018, עודכן ב-10 בינואר 2019

WebKit

זמין עבור: Windows 7 ואילך

השפעה: אינטראקציה בלתי צפויה גורמת לכשל ASSERT

תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.

CVE-2018-4191: התגלה על-ידי OSS-Fuzz

WebKit

זמין עבור: Windows 7 ואילך

השפעה: שגיאות אבטחה ממקורות מרובים כוללות את מקור המסגרת שאליה בוצעה גישה

תיאור: הבעיה טופלה על ידי הסרת פרטי המקור.

CVE-2018-4311: ארלינג אלף אלינגסן (‎@steike)

WebKit

זמין עבור: Windows 7 ואילך

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2018-4316: ‏crixer, האן-מינג ז'אנג (‎@4shitak4) מ-Qihoo 360 Vulcan Team

WebKit

זמין עבור: Windows 7 ואילך

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.

CVE-2018-4299: סמואל גרוס (saelo) בשיתוף פעולה עם Zero Day Initiative של Trend Micro

CVE-2018-4323:‏ איוון פרטריץ' מ-Google Project Zero

CVE-2018-4328:‏ איוון פרטריץ' מ-Google Project Zero

CVE-2018-4358: צוות ‎@phoenhex ‏(‎@bkth_ @5aelo @_niklasb) בשיתוף פעולה עם Zero Day Initiative של Trend Micro

CVE-2018-4359: סמואל גרוס (‎@5aelo)

CVE-2018-4360: וויליאם באולינג (@wcbowling)

הערך עודכן ב-24 באוקטובר 2018

WebKit

זמין עבור: Windows 7 ואילך

השפעה: אתר אינטרנט זדוני עלול לגרום להתנהגות לא צפויה ממקורות מרובים

תיאור: בעיה של מקורות מרובים הייתה קיימת באלמנטים מסוג iframe. הבעיה טופלה באמצעות מעקב משופר אחרי מקורות אבטחה.

CVE-2018-4319: ג'ון פטיט מ-Google

WebKit

זמין עבור: Windows 7 ואילך

השפעה: אתר אינטרנט זדוני עלול להצליח לבצע סקריפטים בהקשר של אתר אינטרנט אחר

תיאור: בעיית scripting מאתרים מרובים הייתה קיימת ב-Safari. בעיה זו טופלה באמצעות אימות URL משופר.

CVE-2018-4309: חוקר אנונימי יחד עם Zero Day Initiative של Trend Micro

WebKit

זמין עבור: Windows 7 ואילך

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2018-4197:‏ איוון פרטריץ' מ-Google Project Zero

CVE-2018-4306:‏ איוון פרטריץ' מ-Google Project Zero

CVE-2018-4312:‏ איוון פרטריץ' מ-Google Project Zero

CVE-2018-4314:‏ איוון פרטריץ' מ-Google Project Zero

CVE-2018-4315:‏ איוון פרטריץ' מ-Google Project Zero

CVE-2018-4317:‏ איוון פרטריץ' מ-Google Project Zero

CVE-2018-4318:‏ איוון פרטריץ' מ-Google Project Zero

WebKit

זמין עבור: Windows 7 ואילך

השפעה: אתר אינטרנט זדוני עלול לחלץ מקורות מרובים של נתוני תמונה

תיאור: בעיית scripting מאתרים מרובים הייתה קיימת ב-Safari. בעיה זו טופלה באמצעות אימות URL משופר.

CVE-2018-4345: יון קוקטסו ‏(‎@shhnjk)

הערך נוסף ב-10 בינואר 2019

WebKit

זמין עבור: Windows 7 ואילך

השפעה: אינטראקציה בלתי צפויה גורמת לכשל ASSERT

תיאור: בעיית צריכת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2018-4361: התגלה על-ידי OSS-Fuzz

CVE-2018-4474: התגלה על-ידי OSS-Fuzz

הערך עודכן ב-22 בינואר 2019

תודות נוספות

SQLite

אנחנו מבקשים להודות לאנדראס קורץ (‎@aykay) מ-NESO Security Labs GmbH על הסיוע.

WebKit

אנחנו מבקשים להודות לקארי הארטליין, להאן-מינג ז'אנג מצוות ‎360 Vulcan, ל-Tencent Keen Security Lab בשיתוף פעולה עם Zero Day Initiative של Trend Micro ולזאק מאלון מ-CA Technologies על הסיוע.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

תאריך פרסום: