Zawartość związana z zabezpieczeniami w programie iTunes 12.6.2 dla systemu Windows

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w programie iTunes 12.6.2 dla systemu Windows.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

iTunes 12.6.2 dla systemu Windows

iTunes

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd dostępu przez wprowadzenie dodatkowych ograniczeń.

CVE-2017-7053: anonimowy badacz pracujący w ramach programu Zero Day Initiative firmy Trend Micro.

libxml2

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: analizowanie złośliwie spreparowanego dokumentu XML może doprowadzić do ujawnienia informacji o użytkowniku.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2017-7010: Apple

CVE-2017-7013: odnalezione przez OSS-Fuzz

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7018: lokihardt z Google Project Zero

CVE-2017-7020: likemeng z Baidu Security Lab

CVE-2017-7030: chenqin z Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)

CVE-2017-7034: chenqin z Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)

CVE-2017-7037: lokihardt z Google Project Zero

CVE-2017-7039: Ivan Fratric z Google Project Zero

CVE-2017-7040: Ivan Fratric z Google Project Zero

CVE-2017-7041: Ivan Fratric z Google Project Zero

CVE-2017-7042: Ivan Fratric z Google Project Zero

CVE-2017-7043: Ivan Fratric z Google Project Zero

CVE-2017-7046: Ivan Fratric z Google Project Zero

CVE-2017-7048: Ivan Fratric z Google Project Zero

CVE-2017-7052: cc w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2017-7055: brytyjska organizacja National Cyber Security Centre (NCSC)

CVE-2017-7056: lokihardt z Google Project Zero

CVE-2017-7061: lokihardt z Google Project Zero

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7049: Ivan Fratric z Google Project Zero

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd inicjalizacji pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7064: lokihardt z Google Project Zero

WebKit — wczytywanie stron

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7019: Zhiyang Zeng z działu Tencent Security Platform Department

Inspektor www WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7012: Apple