Uaktualnienia zabezpieczeń firmy Apple
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Więcej informacji na temat bezpieczeństwa można znaleźć na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z firmą Apple można zaszyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Gdy jest to możliwe, w dokumentach firmy Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
iTunes 12.5.1 dla systemu Windows
Wydano 13 września 2016 r.
WebKit
Dostępne dla: systemu Windows 7 i nowszych
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości WWW może spowodować wykonanie dowolnego kodu.
Opis: w procedurze obsługi prototypów błędów występował błąd analizowania składni. Ten problem rozwiązano przez poprawienie procedury walidacji.
CVE-2016-4728: Daniel Divricean
Wpis dodano 20 września 2016 r.
WebKit
Dostępne dla: systemu Windows 7 i nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować ujawnienie poufnych danych.
Opis: w procedurach obsługi zmiennej lokalizacji występował problem z uprawnieniami. Ten problem rozwiązano przez dodanie kontroli własności.
CVE-2016-4758: Masato Kinugawa z Cure53
Wpis dodany 20 września 2016 r.
WebKit
Dostępne dla: systemu Windows 7 i nowszych
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości WWW może spowodować wykonanie dowolnego kodu.
Opis: poprawiono obsługę pamięci w celu wyeliminowania wielu problemów mogących powodować uszkodzenie zawartości pamięci.
CVE-2016-4759: Tongbo Luo z Palo Alto Networks
CVE-2016-4762: Zheng Huang z Baidu Security Lab
CVE-2016-4766: Apple
CVE-2016-4767: Apple
CVE-2016-4768: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodany 20 września 2016 r.
WebKit
Dostępne dla: systemu Windows 7 i nowszych
Zagrożenie: złośliwie spreparowana witryna może być w stanie uzyskać dostęp do usług niebędących usługami HTTPS.
Opis: obsługa protokołu HTTP/0.9 przez przeglądarkę Safari umożliwiała międzyprotokołowe wykorzystywanie usług niebędących usługami HTTPS przy użyciu ponownego wiązania w systemie DNS. Ten problem rozwiązano przez ograniczenie odpowiedzi HTTP/0.9 do domyślnych portów i anulowanie wczytywania zasobu, jeśli dokument został wczytany przy użyciu protokołu HTTP o innej wersji.
CVE-2016-4760: Jordan Milne
Wpis dodany 20 września 2016 r.
WebKit
Dostępne dla: systemu Windows 7 i nowszych
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości WWW może spowodować wykonanie dowolnego kodu.
Opis: rozwiązano problem powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2016-4765: Apple
Wpis dodany 20 września 2016 r.
WebKit
Dostępne dla: systemu Windows 7 i nowszych
Zagrożenie: osoba atakująca mająca uprzywilejowany dostęp do sieci może być w stanie przechwycić i zmodyfikować ruch sieciowych do aplikacji przy użyciu interfejsu WKWebView z protokołem HTTPS.
Opis: w procedurach obsługi interfejsu WKWebView występował błąd walidacji certyfikatów. Ten problem rozwiązano przez poprawienie procedury weryfikacji.
CVE-2016-4763: anonimowy badacz
Wpis dodany 20 września 2016 r.
WebKit
Dostępne dla: systemu Windows 7 i nowszych
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości WWW może spowodować wykonanie dowolnego kodu.
Opis: rozwiązano problem powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2016-4769: Tongbo Luo z Palo Alto Networks
Wpis dodany 20 września 2016 r.
WebKit
Dostępne dla: systemu Windows 7 i nowszych
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować wykonanie dowolnego kodu.
Opis: poprawiono zarządzanie stanami w celu wyeliminowania wielu problemów mogących powodować uszkodzenie zawartości pamięci.
CVE-2016-4764: Apple
Wpis dodano 3 listopada 2016 r.