Zawartość związana z zabezpieczeniami w programie iTunes 12.5.1

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w programie iTunes 12.5.1 dla systemu Windows.

Uaktualnienia zabezpieczeń firmy Apple

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat bezpieczeństwa można znaleźć na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z firmą Apple można zaszyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach firmy Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

iTunes 12.5.1 dla systemu Windows

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości WWW może spowodować wykonanie dowolnego kodu.

Opis: w procedurze obsługi prototypów błędów występował błąd analizowania składni. Ten problem rozwiązano przez poprawienie procedury walidacji.

CVE-2016-4728: Daniel Divricean

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować ujawnienie poufnych danych.

Opis: w procedurach obsługi zmiennej lokalizacji występował problem z uprawnieniami. Ten problem rozwiązano przez dodanie kontroli własności.

CVE-2016-4758: Masato Kinugawa z Cure53

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości WWW może spowodować wykonanie dowolnego kodu.

Opis: poprawiono obsługę pamięci w celu wyeliminowania wielu problemów mogących powodować uszkodzenie zawartości pamięci.

CVE-2016-4759: Tongbo Luo z Palo Alto Networks

CVE-2016-4762: Zheng Huang z Baidu Security Lab

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: złośliwie spreparowana witryna może być w stanie uzyskać dostęp do usług niebędących usługami HTTPS.

Opis: obsługa protokołu HTTP/0.9 przez przeglądarkę Safari umożliwiała międzyprotokołowe wykorzystywanie usług niebędących usługami HTTPS przy użyciu ponownego wiązania w systemie DNS. Ten problem rozwiązano przez ograniczenie odpowiedzi HTTP/0.9 do domyślnych portów i anulowanie wczytywania zasobu, jeśli dokument został wczytany przy użyciu protokołu HTTP o innej wersji.

CVE-2016-4760: Jordan Milne

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości WWW może spowodować wykonanie dowolnego kodu.

Opis: rozwiązano problem powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2016-4765: Apple

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: osoba atakująca mająca uprzywilejowany dostęp do sieci może być w stanie przechwycić i zmodyfikować ruch sieciowych do aplikacji przy użyciu interfejsu WKWebView z protokołem HTTPS.

Opis: w procedurach obsługi interfejsu WKWebView występował błąd walidacji certyfikatów. Ten problem rozwiązano przez poprawienie procedury weryfikacji.

CVE-2016-4763: anonimowy badacz

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości WWW może spowodować wykonanie dowolnego kodu.

Opis: rozwiązano problem powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2016-4769: Tongbo Luo z Palo Alto Networks

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować wykonanie dowolnego kodu.

Opis: poprawiono zarządzanie stanami w celu wyeliminowania wielu problemów mogących powodować uszkodzenie zawartości pamięci.

CVE-2016-4764: Apple