Zawartość związana z zabezpieczeniami w programie iTunes 12.10.2 dla systemu Windows

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w aplikacji iTunes 12.10.2 dla systemu Windows.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

iTunes 12.10.2 dla systemu Windows

Sterownik graficzny

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8784: Vasiliy Vasilyev i Ilya Finogeev z Webinar, LLC

iTunes

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: uruchomienie instalatora aplikacji iTunes w niezaufanym katalogu może spowodować wykonanie dowolnego kodu.

Opis: w instalatorze aplikacji iTunes występował błąd wczytywania biblioteki dynamicznej. Ten problem rozwiązano przez poprawienie procedury wyszukiwania ścieżek.

CVE-2019-8801: Hou JingYi (@hjy79425575) z Qihoo 360 CERT

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak UXSS (universal cross site scripting).

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2019-8813: anonimowy badacz

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8782: Cheolung Lee z LINE+ Security Team

CVE-2019-8783: Cheolung Lee z LINE+ Graylab Security Team

CVE-2019-8808: wykryte przez OSS-Fuzz

CVE-2019-8811: Soyeon Park z SSLab na uczelni Georgia Tech

CVE-2019-8812: JunDong Xie z Ant-financial Light-Year Security Lab

CVE-2019-8814: Cheolung Lee z LINE+ Security Team

CVE-2019-8816: Soyeon Park z SSLab na uczelni Georgia Tech

CVE-2019-8819: Cheolung Lee z LINE+ Security Team

CVE-2019-8820: Samuel Groß z Google Project Zero

CVE-2019-8821: Sergei Glazunov z Google Project Zero

CVE-2019-8822: Sergei Glazunov z Google Project Zero

CVE-2019-8823: Sergei Glazunov z Google Project Zero

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może ujawnić witryny odwiedzone przez użytkownika.

Opis: nagłówek odnośnika HTTP może służyć do ujawnienia historii przeglądania. Ten błąd naprawiono przez obniżenie poziomu wszystkich odnośników innych firm do ich źródła.

CVE-2019-8827: Artur Janc, Krzysztof Kotowicz, Lukas Weichselbaum i Roberto Clapis z Google Security Team

WebKit — model procesowy

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8815: Apple

Dodatkowe podziękowania

CFNetwork

Dziękujemy Lily Chen z Google za udzieloną pomoc.

WebKit

Dziękujemy za udzieloną pomoc: Dlive z Xuanwu Lab firmy Tencent i Zhiyi Zhang z Codesafe Team, Legendsec w Qi'anxin Group.