Sobre o conteúdo de segurança do iTunes 12.5.1 para Windows

Este documento descreve o conteúdo de segurança do iTunes 12.5.1 para Windows.

Sobre as atualizações de segurança da Apple

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de Segurança da Apple.

Para obter informações sobre segurança, consulte a página Segurança do produto Apple. É possível criptografar comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

iTunes 12.5.1 para Windows

WebKit

Disponível para: Windows 7 ou posterior

Impacto: o processamento de conteúdo da web desenvolvido com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de análise no processamento de protótipos de erro. Isso foi resolvido por meio de melhorias na validação.

CVE-2016-4728: Daniel Divricean

WebKit

Disponível para: Windows 7 ou posterior

Impacto: acessar um site criado com códigos maliciosos pode levar ao vazamento de dados confidenciais

Descrição: havia um problema de permissões no processamento da variável de localização. Isso foi solucionado por meio da adição de outras verificações de propriedade.

CVE-2016-4758: Masato Kinugawa da Cure53

WebKit

Disponível para: Windows 7 ou posterior

Impacto: o processamento de conteúdo da web desenvolvido com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: diversos problemas de memória corrompida foram resolvidos por meio de melhorias no processamento de memória.

CVE-2016-4759: Tongbo Luo da Palo Alto Networks

CVE-2016-4762: Zheng Huang do Baidu Security Lab

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: anônimo em conjunto com a Zero Day Initiative da Trend Micro

WebKit

Disponível para: Windows 7 ou posterior

Impacto: um site malicioso pode conseguir acessar serviços que não são HTTP

Descrição: o suporte do Safari do HTTP/0.9 permitiu exploração entre protocolos de serviços que não são HTTP usando reassociação de DNS. O problema foi solucionado pela restrição de respostas do HTTP/0.9 para portas padrão e pelo cancelamento de cargas de recursos no caso de o documento ter sido carregado com uma versão diferente do protocolo HTTP.

CVE-2016-4760: Jordan Milne

WebKit

Disponível para: Windows 7 ou posterior

Impacto: o processamento de conteúdo da web desenvolvido com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de memória corrompida foi solucionado por meio de melhorias no gerenciamento de estados.

CVE-2016-4765: Apple

WebKit

Disponível para: Windows 7 ou posterior

Impacto: um invasor em uma posição privilegiada na rede pode interceptar e alterar o tráfego de rede para aplicativos que usam WKWebView com HTTPS

Descrição: ocorria um problema de validação do certificado durante o processamento do WKWebView. Esse problema foi resolvido por meio da melhoria da validação.

CVE-2016-4763: um pesquisador anônimo

WebKit

Disponível para: Windows 7 ou posterior

Impacto: o processamento de conteúdo da web desenvolvido com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de corrompimento de memória foi solucionado por meio de melhorias na validação de entradas.

CVE-2016-4769: Tongbo Luo da Palo Alto Networks

WebKit

Disponível para: Windows 7 ou posterior

Impacto: o processamento de conteúdo da web desenvolvido com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: vários problemas de corrompimento de memória foram resolvidos por meio de melhorias no gerenciamento de estado.

CVE-2016-4764: Apple