אודות תוכן האבטחה של iTunes 12.10.7 ל-Windows

מסמך זה מתאר את תוכן האבטחה של iTunes 12.10.7 ל-Windows.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple.

iTunes 12.10.7 ל-Windows

הופץ ב-20 במאי 2020

ImageIO

זמין עבור: Windows 7 ואילך

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-9789: וונצ'או לי מ-VARAS@IIE

CVE-2020-9790: שינגוויי לין מ-Ant-financial Light-Year Security Lab

ImageIO

זמין עבור: Windows 7 ואילך

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2020-3878:‏ סמואל גרוס מ-Google Project Zero

SQLite

זמין עבור: Windows 7 ואילך

השפעה: אפליקציה זדונית עלולה לגרום למניעת שירות או לחשוף תוכן זיכרון

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-9794

WebKit

זמין עבור: Windows 7 ואילך

השפעה: עיבוד תוכן אינטרנטי בעל מבנה זדוני עלול לגרום ל-Scripting אוניברסלי בין אתרים

תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.

CVE-2020-9805: חוקר אנונימי

WebKit

זמין עבור: Windows 7 ואילך

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.

CVE-2020-9802:‏ סמואל גרוס מ-Google Project Zero

WebKit

זמין עבור: Windows 7 ואילך

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר בזיכרון.

CVE-2020-9800: ברנדן דרייפר (‎@6r3nd4n) בעבודה עם Zero Day Initiative של Trend Micro

WebKit

זמין עבור: Windows 7 ואילך

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2020-9806:‏ וון שו מ-SSLab ב-Georgia Tech

CVE-2020-9807:‏ וון שו מ-SSLab ב-Georgia Tech

WebKit

זמין עבור: Windows 7 ואילך

השפעה: תוקף מרוחק עלול להצליח להפעיל קוד שרירותי

תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.

CVE-2020-9850: ‏‎@jinmo123, ‏‎@setuid0x0 ו-‏‎@insu_yun_en מ-‏‎@SSLab_Gatech בעבודה עם Zero Day Initiative של Trend Micro

WebKit

זמין עבור: Windows 7 ואילך

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול לגרום להתקפת Scripting בין אתרים

תיאור: בעיית אימות קלט טופלה באמצעות אימות קלט משופר.

CVE-2020-9843: ריאן פיקרן (ryanpickren.com)

WebKit

זמין עבור: Windows 7 ואילך

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.

CVE-2020-9803:‏ וון שו מ-SSLab ב-Georgia Tech

תודות נוספות

ImageIO

אנחנו מבקשים להודות לליי סון על הסיוע.

WebKit

אנחנו מבקשים להודות לאיידן דנלאפ מאוניברסיטת טקסס באוסטין על הסיוע.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

תאריך פרסום: