Сведения о проблемах системы безопасности, устраняемых обновлением iTunes 12.10.7 для Windows
В этом документе описываются проблемы системы безопасности, устраняемые обновлением iTunes 12.10.7 для Windows.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.
iTunes 12.10.7 для Windows
ImageIO
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2020-9789: Венчао Ли (Wenchao Li) из VARAS@IIE
CVE-2020-9790: Синвэй Лин (Xingwei Lin) из компании Ant-financial Light-Year Security Lab
ImageIO
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2020-3878: Самуэль Гросс (Samuel Groß) из подразделения Google Project Zero
SQLite
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Вредоносное приложение может вызывать отказ в обслуживании или потенциально раскрыть содержимое памяти.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2020-9794
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению универсальных межсайтовых сценариев.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2020-9805: анонимный исследователь
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2020-9802: Самуэль Гросс (Samuel Groß) из подразделения Google Project Zero
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема смешения типов устранена путем улучшенной обработки обращений к памяти.
CVE-2020-9800: Брендан Дрэйпер (Brendan Draper, @6r3nd4n), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенного управления состояниями.
CVE-2020-9806: Вэнь Сюй (Wen Xu) из подразделения SSLab Технологического института Джорджии
CVE-2020-9807: Вэнь Сюй (Wen Xu) из подразделения SSLab Технологического института Джорджии
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Удаленный злоумышленник может вызвать выполнение произвольного кода.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2020-9850: @jinmo123, @setuid0x0_ и @insu_yun_en из @SSLab_Gatech, сотрудничающие с компанией Trend Micro в рамках программы Zero Day Initiative
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может приводить к атаке с использованием межсайтовых сценариев.
Описание. Проблема проверки ввода устранена путем улучшенной проверки ввода.
CVE-2020-9843: Райан Пикрен (Ryan Pickren, ryanpickren.com)
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки.
CVE-2020-9803: Вэнь Сюй (Wen Xu) из подразделения SSLab Технологического института Джорджии
Дополнительные благодарности
ImageIO
Благодарим за помощь Лей Сун (Lei Sun).
WebKit
Благодарим за помощь Эйдана Данлапа (Aidan Dunlap) из Техасского университета в Остине.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.