Informacije o sigurnosnom sadržaju aplikacije iTunes 12.10.8 za Windows

U ovom dokumentu opisuje se sigurnosni sadržaj aplikacije iTunes 12.10.8 za Windows.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iTunes 12.10.8 za Windows

Objavljeno 30. srpnja 2020.

Jezgrena grafika

Dostupno za Windows 7 i novije verzije

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9883: anonimni istraživač, Mickey Jin (Trend Micro)

Unos je dodan 21. rujna 2020., a ažuriran 15. prosinca 2020.

Ulaz i izlaz slika

Dostupno za Windows 7 i novije verzije

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-27933: Xingwei Lin (Ant-Financial Light-Year Security Lab)

Unos je dodan 16. ožujka 2021.

Ulaz i izlaz slika

Dostupno za Windows 7 i novije verzije

Učinak: postojalo je više problema s prekoračenjem međuspremnika u formatu openEXR

Opis: više problema u formatu openEXR riješeno je poboljšanim provjerama.

CVE-2020-11758: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-11759: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-11760: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-11761: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-11762: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-11763: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-11764: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-11765: Xingwei Lin (Ant-Financial Light-Year Security Lab)

Unos je dodan 8. rujna 2020.

Ulaz i izlaz slika

Dostupno za Windows 7 i novije verzije

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9871: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9872: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9874: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9879: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9936: Mickey Jin (Trend Micro)

CVE-2020-9937: Xingwei Lin (Ant-Financial Light-Year Security Lab)

Ulaz i izlaz slika

Dostupno za Windows 7 i novije verzije

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9873: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9938: Xingwei Lin (Ant-Financial Light-Year Security Lab)

CVE-2020-9984: anonimni istraživač

Unos je ažuriran 21. rujna 2020.

Ulaz i izlaz slika

Dostupno za Windows 7 i novije verzije

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9919:  Mickey Jin (Trend Micro)

Ulaz i izlaz slika

Dostupno za Windows 7 i novije verzije

Učinak: otvaranje zlonamjerno stvorene PDF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9876: Mickey Jin (Trend Micro)

Ulaz i izlaz slika

Dostupno za Windows 7 i novije verzije

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-9877: Xingwei Lin (Ant-Financial Light-Year Security Lab)

Ulaz i izlaz slika

Dostupno za Windows 7 i novije verzije

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9875: Mickey Jin (Trend Micro)

libxml2

Dostupno za Windows 7 i novije verzije

Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9926: otkrio OSS-Fuzz

Unos je dodan 16. ožujka 2021.

WebKit

Dostupno za Windows 7 i novije verzije

Učinak: udaljeni napadač može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-9894: 0011 u suradnji s inicijativom Zero Day tvrtke Trend Micro

WebKit

Dostupno za Windows 7 i novije verzije

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: u pravilniku o sigurnosti sadržaja otkriven je problem s pristupom.  Problem je riješen poboljšanim ograničenjem pristupa.

CVE-2020-9915: Ayoub AIT ELMOKHTAR (Noon)

WebKit

Dostupno za Windows 7 i novije verzije

Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2020-9925: anonimni istraživač

WebKit

Dostupno za Windows 7 i novije verzije

Učinak: udaljeni napadač može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2020-9893: 0011 u suradnji s inicijativom Zero Day tvrtke Trend Micro

CVE-2020-9895: Wen Xu (SSLab, Georgia Tech)

WebKit

Dostupno za Windows 7 i novije verzije

Učinak: zlonamjerni napadač s mogućnošću proizvoljnog čitanja i pisanja mogao bi zaobići provjeru identiteta pokazivača

Opis: više problema riješeno je poboljšanom logikom.

CVE-2020-9910: Samuel Groß (Google Project Zero)

Učitavanje stranice WebKita

Dostupno za Windows 7 i novije verzije

Učinak: zlonamjerni napadač možda može sakriti odredište URL adrese

Opis: problem kodiranja Unicode znakova u URL adresi riješen je poboljšanim upravljanjem stanjem.

CVE-2020-9916: Rakesh Mane (@RakeshMane10)

Web-inspektor za WebKit

Dostupno za Windows 7 i novije verzije

Učinak: kopiranje URL adrese s web-inspektora može dovesti do umetanja naredbe

Opis: postojao je problem umetanja naredbe u web-inspektoru. Problem je riješen poboljšanjem dodavanja.

CVE-2020-9862: Ophir Lojkine (@lovasoa)

Dodatna zahvala

Ulaz i izlaz slika

Željeli bismo zahvaliti Xingweiju Linu (Ant-Financial Light-Year Security Lab) na pomoći.

Unos je dodan 21. rujna 2020.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: