Sobre o conteúdo de segurança do iTunes 12.9.1 para Windows

Este documento descreve o conteúdo de segurança do iTunes 12.9.1 para Windows.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Para obter mais informações sobre segurança, consulte a página sobre Segurança do Produto Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

iTunes 12.9.1 para Windows

CoreCrypto

Disponível para: Windows 7 e posterior

Impacto: um invasor pode explorar uma vulnerabilidade no teste de primalidade de Miller-Rabin para identificar incorretamente números primos

Descrição: havia um problema no método de determinação de números primos. Esse problema foi resolvido por meio do uso de bases pseudoaleatórias para testes de números primos.

CVE-2018-4398: Martin Albrecht, Jake Massimo e Kenny Paterson da Royal Holloway, University of London, e Juraj Somorovsky da Ruhr University, Bochum

ICU

Disponível para: Windows 7 e posterior

Impacto: processar uma sequência de caracteres criada com códigos maliciosos pode levar à corrupção de pilha

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2018-4394: Erik Verbruggen da The Qt Company

Leitor do Safari

Disponível para: Windows 7 e posterior

Impacto: ativar o recurso Leitor do Safari em um site criado com códigos maliciosos pode causar a execução universal de scripts entre sites

Descrição: um problema de lógica foi resolvido por meio de melhorias na validação.

CVE-2018-4374: Ryan Pickren (ryanpickren.com)

Leitor do Safari

Disponível para: Windows 7 e posterior

Impacto: ativar o recurso Leitor do Safari em um site criado com códigos maliciosos pode causar a execução universal de scripts entre sites

Descrição: havia um problema de transmissão de script entre sites no Safari. Esse problema foi resolvido por meio de melhorias na validação de URL.

CVE-2018-4377: Ryan Pickren (ryanpickren.com)

WebKit

Disponível para: Windows 7 e posterior

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.

CVE-2018-4372: HyungSeok Han, DongHyeon Oh e Sang Kil Cha do KAIST Softsec Lab, Coreia

CVE-2018-4373: ngg, alippai, DirtYiCE, KT da Tresorit em parceria com a Zero Day Initiative da Trend Micro

CVE-2018-4375: Yu Haiwan e Wu Hongjun da Nanyang Technological University em parceria com a Zero Day Initiative da Trend Micro

CVE-2018-4376: 010 em parceria com a Zero Day Initiative da Trend Micro

CVE-2018-4382: lokihardt do Google Project Zero

CVE-2018-4386: lokihardt do Google Project Zero

CVE-2018-4392: zhunki da 360 ESG Codesafe Team

CVE-2018-4416: lokihardt do Google Project Zero

WebKit

Disponível para: Windows 7 e posterior

Impacto: um site malicioso pode causar uma negação de serviço

Descrição: um problema de esgotamento de recursos foi resolvido por meio de melhorias na validação de entradas.

CVE-2018-4409: Sabri Haddouche (@pwnsdx) da Wire Swiss GmbH

WebKit

Disponível para: Windows 7 e posterior

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução de códigos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação.

CVE-2018-4378: HyungSeok Han, DongHyeon Oh e Sang Kil Cha do KAIST Softsec Lab, Coreia, zhunki do 360 ESG Codesafe Team

Outros reconhecimentos

Leitor do Safari

Gostaríamos de agradecer a Ryan Pickren (ryanpickren.com) pela ajuda.