Сведения о проблемах системы безопасности, устраняемых обновлением iTunes 12.9.1 для Windows
В этом документе описываются проблемы системы безопасности, устраняемые обновлением iTunes 12.9.1 для Windows.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.
В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.
iTunes 12.9.1 для Windows
CoreCrypto
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Злоумышленник может воспользоваться уязвимостью в тесте Миллера — Рабина для определения простых чисел, в результате чего последние определяются ошибочно.
Описание. Возникала проблема со способом определения простых чисел. Проблема была устранена путем использования псевдослучайных баз для определения простых чисел.
CVE-2018-4398: Мартин Альбрехт (Martin Albrecht), Джейк Массимо (Jake Massimo) и Кенни Патерсон (Kenny Paterson) из колледжа Ройал-Холлоуэй при Лондонском университете, а также Юрий Соморовский (Juraj Somorovsky) из Рурского университета в Бохуме
ICU
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносной строки может приводить к повреждению динамической памяти.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2018-4394: Эрик Фербругген (Erik Verbruggen) из The Qt Company
Safari Reader
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Включение функции Safari Reader на вредоносной веб-странице может приводить к выполнению универсальных межсайтовых сценариев.
Описание. Проблема с логикой устранена путем улучшенной проверки.
CVE-2018-4374: Райан Пикрен (Ryan Pickren, ryanpickren.com)
Safari Reader
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Включение функции Safari Reader на вредоносной веб-странице может приводить к выполнению универсальных межсайтовых сценариев.
Описание. В Safari возникала проблема, связанная с выполнением межсайтовых сценариев. Проблема устранена путем улучшенной проверки URL-адресов.
CVE-2018-4377: Райан Пикрен (Ryan Pickren, ryanpickren.com)
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.
CVE-2018-4372: Хёнсок Хан (HyungSeok Han), Донхьен Ох (DongHyeon Oh) и Сан Кил Ча (Sang Kil Cha) из лаборатории SoftSec института KAIST (Южная Корея)
CVE-2018-4373: пользователи ngg, alippai, DirtYiCE и KT из компании Tresorit, сотрудничающие с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2018-4375: Ю Хайвань (Yu Haiwan) и Ву Хондзюн (Wu Hongjun) из Наньянского технологического университета, сотрудничающие с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2018-4376: пользователь 010, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2018-4382: пользователь lokihardt из подразделения Google Project Zero
CVE-2018-4386: пользователь lokihardt из подразделения Google Project Zero
CVE-2018-4392: пользователь zhunki из подразделения 360 ESG Codesafe
CVE-2018-4416: пользователь lokihardt из подразделения Google Project Zero
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Вредоносный веб-сайт может вызвать отказ в обслуживании.
Описание. Проблема с исчерпанием ресурсов устранена путем улучшенной проверки ввода.
CVE-2018-4409: Сабри Хаддуш (Sabri Haddouche, @pwnsdx) из компании Wire Swiss GmbH
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки.
CVE-2018-4378: Хёнсок Хан (HyungSeok Han), Донхьен Ох (DongHyeon Oh) и Сан Кил Ча (Sang Kil Cha) из лаборатории SoftSec института KAIST (Южная Корея), пользователь zhunki из подразделения 360 ESG Codesafe
Дополнительные благодарности
Safari Reader
Выражаем благодарность за помощь Райану Пикрену (Ryan Pickren, ryanpickren.com).
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.