Az iTunes 12.9-es Windows-verziójának biztonsági változásjegyzéke

Ez a dokumentum az iTunes 12.9-es Windows-verziójának biztonsági tartalmát ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

Az iTunes 12.9-es Windows-verziója

Kiadási dátum: 2018. szeptember 12.

WebKit

A következőkhöz érhető el: Windows 7 és újabb verziók.

Érintett terület: Váratlan interakció ASSERT hibát okozott.

Leírás: Hatékonyabb ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4191: megtaláló: OSS-Fuzz

WebKit

A következőkhöz érhető el: Windows 7 és újabb verziók.

Érintett terület: A különböző forrású SecurityErrors magában foglalta az elért keret eredetét.

Leírás: Az eredetre vonatkozó információk eltávolításával hárítottuk el a hibát.

CVE-2018-4311: Erling Alf Ellingsen (@steike)

WebKit

A következőkhöz érhető el: Windows 7 és újabb verziók.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4316: crixer, Hanming Zhang (@4shitak4; Qihoo 360 Vulcan Team)

WebKit

A következőkhöz érhető el: Windows 7 és újabb verziók.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2018-4299: Samuel Groβ (saelo), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2018-4323: Ivan Fratric (Google Project Zero)

CVE-2018-4328: Ivan Fratric (Google Project Zero)

CVE-2018-4358: @phoenhex team (@bkth_ @5aelo @_niklasb), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2018-4359: Samuel Groß (@5aelo)

CVE-2018-4360: William Bowling (@wcbowling)

A bejegyzés frissítve: 2018. október 24.

WebKit

A következőkhöz érhető el: Windows 7 és újabb verziók.

Érintett terület: Az ártó szándékkal létrehozott webhelyek váratlanul eltérő forrású viselkedést tudtak okozni.

Leírás: Eltérő eredetű adatokat érintő probléma állt fenn az iframe-elemek esetén. A biztonsági eredetek hatékonyabb nyomon követésével hárítottuk el a hibát.

CVE-2018-4319: John Pettitt (Google)

WebKit

A következőkhöz érhető el: Windows 7 és újabb verziók.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek szkripteket tudtak végrehajtani egy másik webhely kontextusában.

Leírás: Webhelyek közötti, parancsfájlt alkalmazó támadással összefüggő probléma állt fenn a Safari böngészőben. Hatékonyabb URL-ellenőrzéssel hárítottuk el a problémát.

CVE-2018-4309: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

WebKit

A következőkhöz érhető el: Windows 7 és újabb verziók.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2018-4197: Ivan Fratric (Google Project Zero)

CVE-2018-4306: Ivan Fratric (Google Project Zero)

CVE-2018-4312: Ivan Fratric (Google Project Zero)

CVE-2018-4314: Ivan Fratric (Google Project Zero)

CVE-2018-4315: Ivan Fratric (Google Project Zero)

CVE-2018-4317: Ivan Fratric (Google Project Zero)

CVE-2018-4318: Ivan Fratric (Google Project Zero)

WebKit

A következőkhöz érhető el: Windows 7 és újabb verziók.

Érintett terület: Az ártó szándékkal létrehozott webhelyek ki tudtak szivárogtatni képadatokat különböző eredetekből.

Leírás: Webhelyek közötti, parancsfájlt alkalmazó támadással összefüggő probléma állt fenn a Safari böngészőben. Hatékonyabb URL-ellenőrzéssel hárítottuk el a problémát.

CVE-2018-4345: anonim kutató

WebKit

A következőkhöz érhető el: Windows 7 és újabb verziók.

Érintett terület: Váratlan interakció ASSERT hibát okozott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.

CVE-2018-4361: az OSS-Fuzz fedezte fel

A bejegyzés frissítve: 2018. október 24.

További köszönetnyilvánítás

SQLite

Köszönjük Andreas Kurtz (@aykay; NESO Security Labs GmbH) segítségét.

WebKit

Köszönjük Cary Hartline, Hanming Zhang (360 Vuclan team), Tencent Keen Security Lab (a Trend Micro Zero Day Initiative kezdeményezésének közreműködője) és Zach Malone (CA Technologies) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: