Over de beveiligingsinhoud van iTunes 12.9 voor Windows

In dit document wordt de beveiligingsinhoud van iTunes 12.9 voor Windows beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging. U kunt communicatie met Apple versleutelen via de Apple Product Security PGP-sleutel.

Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.

iTunes 12.9 voor Windows

CFNetwork

Beschikbaar voor: Windows 7 en hoger

Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2018-4126: Bruno Keith (@bkth_) in samenwerking met het Zero Day Initiative van Trend Micro

CoreFoundation

Beschikbaar voor: Windows 7 en hoger

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen met verbeterde invoervalidatie.

CVE-2018-4414: het National Cyber Security Centre (NCSC) in het Verenigd Koninkrijk

CoreFoundation

Beschikbaar voor: Windows 7 en hoger

Impact: een kwaadaardig programma kan de bevoegdheden verhogen

Beschrijving: een probleem met geheugenbeschadiging is verholpen met verbeterde invoervalidatie.

CVE-2018-4412: het National Cyber Security Centre (NCSC) in het Verenigd Koninkrijk

CoreText

Beschikbaar voor: Windows 7 en hoger

Impact: het verwerken van een kwaadwillig vervaardigd tekstbestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2018-4347: Vasyl Tkachuk van Readdle

WebKit

Beschikbaar voor: Windows 7 en hoger

Impact: een onverwachte interactie veroorzaakt een ASSERT-fout

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.

CVE-2018-4191: gevonden door OSS-Fuzz

WebKit

Beschikbaar voor: Windows 7 en hoger

Impact: cross-origin SecurityErrors bevatte de oorsprong van het geopende frame

Beschrijving: het probleem is verholpen door informatie over de oorsprong te verwijderen.

CVE-2018-4311: Erling Alf Ellingsen (@steike)

WebKit

Beschikbaar voor: Windows 7 en hoger

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2018-4316: crixer, Hanming Zhang (@4shitak4) van het Qihoo 360 Vulcan Team

WebKit

Beschikbaar voor: Windows 7 en hoger

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2018-4299: Samuel Groß (saelo) in samenwerking met het Zero Day Initiative van Trend Micro

CVE-2018-4323: Ivan Fratric van Google Project Zero

CVE-2018-4328: Ivan Fratric van Google Project Zero

CVE-2018-4358: @phoenhex team (@bkth_ @5aelo @_niklasb) in samenwerking met het Zero Day Initiative van Trend Micro

CVE-2018-4359: Samuel Groß (@5aelo)

CVE-2018-4360: William Bowling (@wcbowling)

WebKit

Beschikbaar voor: Windows 7 en hoger

Impact: een kwaadaardige website kan onverwacht cross-origin-gedrag veroorzaken

Beschrijving: er was een cross-origin-probleem met iframe-elementen. Dit is verholpen door een verbeterde tracking van beveiligingsbronnen.

CVE-2018-4319: John Pettitt van Google

WebKit

Beschikbaar voor: Windows 7 en hoger

Impact: een kwaadaardige website kan mogelijk scripts uitvoeren in de context van een andere website

Beschrijving: er was een probleem met cross-site-scripting in Safari. Dit probleem is verholpen door een verbeterde validatie van URL's.

CVE-2018-4309: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van Trend Micro

WebKit

Beschikbaar voor: Windows 7 en hoger

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2018-4197: Ivan Fratric van Google Project Zero

CVE-2018-4306: Ivan Fratric van Google Project Zero

CVE-2018-4312: Ivan Fratric van Google Project Zero

CVE-2018-4314: Ivan Fratric van Google Project Zero

CVE-2018-4315: Ivan Fratric van Google Project Zero

CVE-2018-4317: Ivan Fratric van Google Project Zero

CVE-2018-4318: Ivan Fratric van Google Project Zero

WebKit

Beschikbaar voor: Windows 7 en hoger

Impact: een kwaadaardige website kan afbeeldingsgegevens 'cross-origin' exfiltreren

Beschrijving: er was een probleem met cross-site-scripting in Safari. Dit probleem is verholpen door een verbeterde validatie van URL's.

CVE-2018-4345: Jun Kokatsu (@shhnjk)

WebKit

Beschikbaar voor: Windows 7 en hoger

Impact: een onverwachte interactie veroorzaakt een ASSERT-fout

Beschrijving: een probleem met geheugengebruik is verholpen door een verbeterde verwerking van het geheugen.

CVE-2018-4361: gevonden door OSS-Fuzz

CVE-2018-4474: gevonden door OSS-Fuzz

Aanvullende erkenning

SQLite

Met dank aan Andreas Kurtz (@aykay) van NESO Security Labs GmbH voor zijn hulp.

WebKit

Met dank aan Cary Hartline, Hanming Zhang van het 360 Vulcan Team, het Tencent Keen Security Lab in samenwerking met het Zero Day Initiative van Trend Micro en Zach Malone van CA Technologies voor hun hulp.