Сведения о проблемах системы безопасности, устраняемых обновлением iTunes 12.5.1 для Windows

В этом документе описываются проблемы безопасности, устраняемые в программе iTunes 12.5.1 для Windows.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или выпуски. Последние выпуски перечислены на странице Обновления системы безопасности Apple.

Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

iTunes 12.5.1 для Windows

WebKit

Доступно для: Windows 7 и более поздних версий

Воздействие. Обработка вредоносного веб-содержимого может привести к выполнению произвольного кода

Описание. При обработке прототипов ошибок существовала проблема анализа. Проблема устранена путем улучшенной проверки.

CVE-2016-4728: Даниэл Дивричан (Daniel Divricean)

WebKit

Доступно для: Windows 7 и более поздних версий

Воздействие. Посещение вредоносной веб-страницы могло привести к утечке важных данных.

Описание. При обработке переменной местоположения возникала проблема с разрешениями. Проблема решена введением дополнительных проверок владельца.

CVE-2016-4758: Масато Кинугава (Masato Kinugawa) из компании Cure53

WebKit

Доступно для: Windows 7 и более поздних версий

Воздействие. Обработка вредоносного веб-содержимого может привести к выполнению произвольного кода

Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки памяти.

CVE-2016-4759: Тунбо Ло (Tongbo Luo) из компании Palo Alto Networks

CVE-2016-4762: Чжэн Хуан (Zheng Huang) из Baidu Security Lab

CVE-2016-4766: компания Apple

CVE-2016-4767: компания Apple

CVE-2016-4768: анонимный пользователь, сотрудничающий с компанией Trend Micro по программе Zero Day Initiative

WebKit

Доступно для: Windows 7 и более поздних версий

Воздействие. Вредоносный веб-сайт может получить доступ к службам, не связанным с HTTP.

Описание. Поддержка браузером Safari версии протокола HTTP/0.9 допускала использование межпротокольных уязвимостей служб, не связанных с HTTP, посредством повторной привязки DNS. Проблема была устранена путем разрешения передачи ответов HTTP/0.9 только через порты, используемые по умолчанию, и отмены загрузок ресурсов в случае, если документ загружался с использованием другой версии протокола HTTP.

CVE-2016-4760: Джордан Милне (Jordan Milne)

WebKit

Доступно для: Windows 7 и более поздних версий

Воздействие. Обработка вредоносного веб-содержимого может привести к выполнению произвольного кода

Описание. Проблема повреждения памяти устранена путем улучшенного управления состоянием.

CVE-2016-4765: компания Apple

WebKit

Доступно для: Windows 7 и более поздних версий

Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может перехватывать и изменять сетевой трафик, передаваемый программам с помощью WKWebView с использованием HTTPS.

Описание. При обработке WKWebView существовала проблема проверки сертификата. Проблема устранена путем улучшенной проверки.

CVE-2016-4763: анонимный исследователь

WebKit

Доступно для: Windows 7 и более поздних версий

Воздействие. Обработка вредоносного веб-содержимого может привести к выполнению произвольного кода

Описание. Проблема повреждения памяти устранена путем улучшенной проверки ввода.

CVE-2016-4769: Тунбо Ло (Tongbo Luo) из компании Palo Alto Networks

WebKit

Доступно для: Windows 7 и более поздних версий

Воздействие. Обработка вредоносного веб-содержимого может привести к выполнению произвольного кода

Описание. Ряд проблем повреждения памяти устранен путем улучшенного управления состоянием.

CVE-2016-4764: компания Apple