Informacije o sigurnosnom sadržaju aplikacije iTunes 12.10.8 za Windows
U ovom dokumentu opisuje se sigurnosni sadržaj aplikacije iTunes 12.10.8 za Windows.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
iTunes 12.10.8 za Windows
Jezgrena grafika
Dostupno za Windows 7 i novije verzije
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2020-9883: anonimni istraživač, Mickey Jin (Trend Micro)
Ulaz i izlaz slika
Dostupno za Windows 7 i novije verzije
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-27933: Xingwei Lin (Ant-Financial Light-Year Security Lab)
Ulaz i izlaz slika
Dostupno za Windows 7 i novije verzije
Učinak: postojalo je više problema s prekoračenjem međuspremnika u formatu openEXR
Opis: više problema u formatu openEXR riješeno je poboljšanim provjerama.
CVE-2020-11758: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-11759: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-11760: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-11761: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-11762: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-11763: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-11764: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-11765: Xingwei Lin (Ant-Financial Light-Year Security Lab)
Ulaz i izlaz slika
Dostupno za Windows 7 i novije verzije
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-9871: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-9872: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-9874: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-9879: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-9936: Mickey Jin (Trend Micro)
CVE-2020-9937: Xingwei Lin (Ant-Financial Light-Year Security Lab)
Ulaz i izlaz slika
Dostupno za Windows 7 i novije verzije
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-9873: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-9938: Xingwei Lin (Ant-Financial Light-Year Security Lab)
CVE-2020-9984: anonimni istraživač
Ulaz i izlaz slika
Dostupno za Windows 7 i novije verzije
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2020-9919: Mickey Jin (Trend Micro)
Ulaz i izlaz slika
Dostupno za Windows 7 i novije verzije
Učinak: otvaranje zlonamjerno stvorene PDF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-9876: Mickey Jin (Trend Micro)
Ulaz i izlaz slika
Dostupno za Windows 7 i novije verzije
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-9877: Xingwei Lin (Ant-Financial Light-Year Security Lab)
Ulaz i izlaz slika
Dostupno za Windows 7 i novije verzije
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-9875: Mickey Jin (Trend Micro)
libxml2
Dostupno za Windows 7 i novije verzije
Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2020-9926: otkrio OSS-Fuzz
WebKit
Dostupno za Windows 7 i novije verzije
Učinak: udaljeni napadač može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-9894: 0011 u suradnji s inicijativom Zero Day tvrtke Trend Micro
WebKit
Dostupno za Windows 7 i novije verzije
Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja
Opis: u pravilniku o sigurnosti sadržaja otkriven je problem s pristupom. Problem je riješen poboljšanim ograničenjem pristupa.
CVE-2020-9915: Ayoub AIT ELMOKHTAR (Noon)
WebKit
Dostupno za Windows 7 i novije verzije
Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2020-9925: anonimni istraživač
WebKit
Dostupno za Windows 7 i novije verzije
Učinak: udaljeni napadač može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2020-9893: 0011 u suradnji s inicijativom Zero Day tvrtke Trend Micro
CVE-2020-9895: Wen Xu (SSLab, Georgia Tech)
WebKit
Dostupno za Windows 7 i novije verzije
Učinak: zlonamjerni napadač s mogućnošću proizvoljnog čitanja i pisanja mogao bi zaobići provjeru identiteta pokazivača
Opis: više problema riješeno je poboljšanom logikom.
CVE-2020-9910: Samuel Groß (Google Project Zero)
Učitavanje stranice WebKita
Dostupno za Windows 7 i novije verzije
Učinak: zlonamjerni napadač možda može sakriti odredište URL adrese
Opis: problem kodiranja Unicode znakova u URL adresi riješen je poboljšanim upravljanjem stanjem.
CVE-2020-9916: Rakesh Mane (@RakeshMane10)
Web-inspektor za WebKit
Dostupno za Windows 7 i novije verzije
Učinak: kopiranje URL adrese s web-inspektora može dovesti do umetanja naredbe
Opis: postojao je problem umetanja naredbe u web-inspektoru. Problem je riješen poboljšanjem dodavanja.
CVE-2020-9862: Ophir Lojkine (@lovasoa)
Dodatna zahvala
Ulaz i izlaz slika
Željeli bismo zahvaliti Xingweiju Linu (Ant-Financial Light-Year Security Lab) na pomoći.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.