Sobre o conteúdo de segurança do iTunes 12.7 para Windows

Este documento descreve o conteúdo de segurança do iTunes 12.7 para Windows.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

iTunes 12.7 para Windows

Lançado em 12 de setembro de 2017

CFNetwork

Disponível para: Windows 7 e posterior

Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-13829: Niklas Baumstark e Samuel Gro em parceria com a Zero Day Initiative da Trend Micro 

CVE-2017-13833: Niklas Baumstark e Samuel Gro em parceria com a Zero Day Initiative da Trend Micro

Entrada adicionada em 10 de novembro de 2017

ImageIO

Disponível para: Windows 7 e posterior

Impacto: processar uma imagem criada com códigos maliciosos pode causar uma negação de serviço

Descrição: havia um problema de divulgação de informações no processamento de imagens de disco. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2017-13831: Glen Carmichael

Entrada adicionada em 31 de outubro de 2017 e atualizada em 10 de novembro de 2017

WebKit

Disponível para: Windows 7 e posterior

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-7081: Apple

Entrada adicionada em 25 de setembro de 2017

WebKit

Disponível para: Windows 7 e posterior

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan da Baidu Security Lab em parceria com a Zero Day Initiative da Trend Micro

CVE-2017-7092: Samuel Gro e Niklas Baumstark em parceria com a Zero Day Initiative da Trend Micro, Qixun Zhao (@S0rryMybad) da Qihoo 360 Vulcan Team

CVE-2017-7093: Samuel Gro e Niklas Baumstark Micro em parceria com a Zero Day Initiative da Trend Micro

CVE-2017-7094: Tim Michaud (@TimGMichaud) da Leviathan Security Group

CVE-2017-7095: Wang Junjie, Wei Lei e Liu Yang da Nanyang Technological University em parceria com a Zero Day Initiative da Trend Micro

CVE-2017-7096: Wei Yuan da Baidu Security Lab

CVE-2017-7098: Felipe Freitas do Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa e Mario Heiderich da Cure53

CVE-2017-7102: Wang Junjie, Wei Lei e Liu Yang da Nanyang Technological University

CVE-2017-7104: likemeng da Baidu Security Lab

CVE-2017-7107: Wang Junjie, Wei Lei e Liu Yang da Nanyang Technological University

CVE-2017-7111: likemeng do Baidu Security Lab (xlab.baidu.com) em parceria com a Zero Day Initiative da Trend Micro

CVE-2017-7117: lokihardt do Google Project Zero

CVE-2017-7120: chenqin (陈钦) da Ant-financial Light-Year Security Lab

Entrada adicionada em 25 de setembro de 2017

WebKit

Disponível para: Windows 7 e posterior

Impacto: cookies pertencentes a uma origem podiam ser enviados a outra

Descrição: havia um problema de permissões no processamento de cookies de um navegador. Esse problema foi resolvido deixando de retornar cookies para esquemas de URL personalizados.

CVE-2017-7090: Apple

Entrada adicionada em 25 de setembro de 2017

WebKit

Disponível para: Windows 7 e posterior

Impacto: processar conteúdo da web criado com códigos maliciosos podia resultar em um ataque de transmissão de script entre sites

Descrição: a política do cache de aplicativos podia ser aplicada de maneira inesperada.

CVE-2017-7109: avlidienbrunn

Entrada adicionada em 25 de setembro de 2017

Outros reconhecimentos

WebKit

Gostaríamos de agradecer a Rayyan Bijoora (@Bijoora) da The City School, PAF Chapter pela ajuda.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: Wed Nov 22 18:21:20 GMT 2017