Zawartość związana z zabezpieczeniami w aplikacji iTunes 12.7 dla systemu Windows

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w aplikacji iTunes 12.7 dla systemu Windows.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

iTunes 12.7 dla systemu Windows

CFNetwork

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13829: Niklas Baumstark i Samuel Gro w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2017-13833: Niklas Baumstark i Samuel Gro w ramach programu Zero Day Initiative firmy Trend Micro

ImageIO

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ataku typu „odmowa usługi”.

Opis: w procedurze przetwarzania obrazów dysków występował błąd powodujący ujawnianie informacji. Ten błąd naprawiono przez poprawienie procedur zarządzania pamięcią.

CVE-2017-13831: Glen Carmichael

libxml2

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML mogło spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2017-9049: Wei Lei i Liu Yang z Nanyang Technological University w Singapurze

libxml2

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML mogło spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2017-7376: anonimowy badacz

CVE-2017-5130: anonimowy badacz

libxml2

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML mogło spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-9050: Mateusz Jurczyk (j00ru) z Google Project Zero

libxml2

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML mogło spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury sprawdzania poprawności.

CVE-2018-4302: Gustavo Grieco

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-7081: Apple

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan z Baidu Security Lab w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2017-7092: Samuel Gro i Niklas Baumstark w ramach programu Zero Day Initiative firmy Trend Micro, Qixun Zhao (@S0rryMybad) z Qihoo 360 Vulcan Team

CVE-2017-7093: Samuel Gro i Niklas Baumstark w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2017-7094: Tim Michaud (@TimGMichaud) z Leviathan Security Group

CVE-2017-7095: Wang Junjie, Wei Lei i Liu Yang z Nanyang Technological University w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2017-7096: Wei Yuan z Baidu Security Lab

CVE-2017-7098: Felipe Freitas z Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa i Mario Heiderich z Cure53

CVE-2017-7102: Wang Junjie, Wei Lei i Liu Yang z Nanyang Technological University

CVE-2017-7104: likemeng z Baidu Secutity Lab

CVE-2017-7107: Wang Junjie, Wei Lei i Liu Yang z Nanyang Technological University

CVE-2017-7111: likemeng z Baidu Security Lab (xlab.baidu.com) w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2017-7117: lokihardt z Google Project Zero

CVE-2017-7120: chenqin (陈钦) z Ant-financial Light-Year Security Lab

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: pliki cookie należące do jednego źródła mogą zostać wysłane do innego źródła.

Opis: w procedurach obsługi plików cookie przeglądarki internetowej występował problem z uprawnieniami. Ten błąd naprawiono przez wyłączenie zwracania plików cookie dla niestandardowych schematów adresów URL.

CVE-2017-7090: Apple

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak XSS (cross-site-scripting).

Opis: istniała możliwość zastosowania zasad bufora aplikacji w nieoczekiwany sposób.

CVE-2017-7109: avlidienbrunn

Dodatkowe podziękowania

WebKit

Specjalne podziękowania za pomoc dla: Rayyan Bijoora (@Bijoora) z The City School, PAF Chapter.