Az iTunes 12.10.2-es Windows-verziójának biztonsági változásjegyzéke

Ez a dokumentum az iTunes 12.10.2-es Windows-verziójának biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az iTunes 12.10.2-es Windows-verziója

Grafikus illesztőprogram

A következőkhöz érhető el: Windows 7 és újabb verziók.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8784: Vasiliy Vasilyev és Ilya Finogeev (Webinar, LLC)

iTunes

A következőkhöz érhető el: Windows 7 és újabb verziók.

Érintett terület: Tetszőleges programkód végrehajtására nyílt lehetőség, ha a felhasználó egy nem megbízhatónak jelölt könyvtárban futtatta az iTunes-telepítőt.

Leírás: Egy dinamikus könyvtárbetöltéssel kapcsolatos hiba lépett fel az iTunes beállításakor. Hatékonyabb útvonalkereséssel hárítottuk el a problémát.

CVE-2019-8801: Hou JingYi (@hjy79425575, Qihoo 360 CERT)

WebKit

A következőkhöz érhető el: Windows 7 és újabb verziók.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2019-8813: anonim kutató

WebKit

A következőkhöz érhető el: Windows 7 és újabb verziók.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2019-8782: Cheolung Lee (LINE+ Security Team)

CVE-2019-8783: Cheolung Lee (LINE+ Graylab Security Team)

CVE-2019-8808: megtaláló: OSS-Fuzz

CVE-2019-8811: Soyeon Park (SSLab, Georgia Tech)

CVE-2019-8812: JunDong Xie (Ant-financial Light-Year Security Lab)

CVE-2019-8814: Cheolung Lee (LINE+ Security Team)

CVE-2019-8816: Soyeon Park (SSLab, Georgia Tech)

CVE-2019-8819: Cheolung Lee (LINE+ Security Team)

CVE-2019-8820: Samuel Groß (Google Project Zero)

CVE-2019-8821: Sergei Glazunov (Google Project Zero)

CVE-2019-8822: Sergei Glazunov (Google Project Zero)

CVE-2019-8823: Sergei Glazunov (Google Project Zero)

WebKit

A következőkhöz érhető el: Windows 7 és újabb verziók.

Érintett terület: Az ártó szándékkal létrehozott webhelyek felkeresése felfedhette, hogy a felhasználó milyen webhelyeket látogatott meg.

Leírás: A HTTP-hivatkozói fejlécet arra használhatták, hogy hozzáférjenek a böngészési előzményekhez. A problémát azzal küszöböltük ki, hogy minden külső féltől származó hivatkozót visszaállítunk az eredetének megfelelő értékre.

CVE-2019-8827: Artur Janc, Krzysztof Kotowicz, Lukas Weichselbaum és Roberto Clapis (Google Security Team)

WebKit-folyamatmodell

A következőkhöz érhető el: Windows 7 és újabb verziók.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2019-8815: Apple

További köszönetnyilvánítás

CFNetwork

Köszönjük Lily Chen (Google) segítségét.

WebKit

Köszönjük Dlive (Tencent, Xuanwu Lab) és Zhiyi Zhang (Codesafe Team, Legendsec, Qi'anxin Group) segítségét.