Сведения о проблемах безопасности, устраняемых обновлением iTunes 12.9 для Windows

В этом документе описываются проблемы системы безопасности, устраняемые обновлением iTunes 12.9 для Windows.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

Дополнительные сведения о безопасности можно найти на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

iTunes 12.9 для Windows

Дата выпуска: 12 сентября 2018 г.

CFNetwork

Целевые продукты: Windows 7 и более поздних версий

Воздействие. Приложение может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2018-4126: Бруно Кит (Bruno Keith, @bkth_), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

Запись добавлена 30 октября 2018 г.

CoreFoundation

Целевые продукты: Windows 7 и более поздних версий

Воздействие. Приложение может получить повышенные привилегии.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2018-4414: Национальный центр кибербезопасности Великобритании (NCSC)

Запись добавлена 30 октября 2018 г.

CoreFoundation

Целевые продукты: Windows 7 и более поздних версий

Воздействие. Вредоносное приложение может повышать уровень привилегий.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2018-4412: Национальный центр кибербезопасности Великобритании (NCSC)

Запись добавлена 30 октября 2018 г.

CoreText

Целевые продукты: Windows 7 и более поздних версий

Воздействие. Обработка вредоносного текстового файла могла привести к выполнению произвольного кода.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2018-4347: Василь Ткачук (Vasyl Tkachuk) из компании Readdle

Запись добавлена 30 октября 2018 г. и обновлена 10 января 2019 г.

WebKit

Целевые продукты: Windows 7 и более поздних версий

Воздействие. Неожиданное взаимодействие приводит к сбою макроса ASSERT.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки.

CVE-2018-4191: обнаружено с помощью инструмента OSS-Fuzz

WebKit

Целевые продукты: Windows 7 и более поздних версий

Воздействие. Класс SecurityErrors перекрестных источников включает источник структуры с полученным доступом.

Описание. Проблема устранена посредством удаления сведений об источнике.

CVE-2018-4311: Эрлинг Альф Эллингсен (Erling Alf Ellingsen, @steike)

WebKit

Целевые продукты: Windows 7 и более поздних версий

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.

CVE-2018-4316: пользователь crixer, Ханмин Чжан (Hanming Zhang, @4shitak4) из группы Vulcan в Qihoo 360

WebKit

Целевые продукты: Windows 7 и более поздних версий

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.

CVE-2018-4299: Сэмюэл Гросс (Samuel Groβ, @saelo), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

CVE-2018-4323: Иван Фратрик (Ivan Fratric) из подразделения Google Project Zero

CVE-2018-4328: Иван Фратрик (Ivan Fratric) из подразделения Google Project Zero

CVE-2018-4358: команда пользователей @phoenhex (@bkth, @5aelo и @niklasb), сотрудничающая с компанией Trend Micro в рамках программы Zero Day Initiative

CVE-2018-4359: Сэмюэл Гросс (Samuel Groß, @5aelo)

CVE-2018-4360: Уильям Боулинг (William Bowling, @wcbowling)

Запись обновлена 24 октября 2018 г.

WebKit

Целевые продукты: Windows 7 и более поздних версий

Воздействие. Вредоносный веб-сайт может вызывать непредвиденное поведение перекрестных источников.

Описание. Возникала проблема с перекрестными источниками, связанными с элементами iFrame. Проблема устранена путем улучшенного отслеживания источников безопасности.

CVE-2018-4319: Джон Петтит (John Pettitt) из Google

WebKit

Целевые продукты: Windows 7 и более поздних версий

Воздействие. Вредоносный веб-сайт может выполнять сценарии в контексте другого веб-сайта.

Описание. В Safari возникала проблема, связанная с выполнением межсайтовых сценариев. Проблема устранена путем улучшенной проверки URL-адресов.

CVE-2018-4309: анонимный исследователь, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

WebKit

Целевые продукты: Windows 7 и более поздних версий

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2018-4197: Иван Фратрик (Ivan Fratric) из подразделения Google Project Zero

CVE-2018-4306: Иван Фратрик (Ivan Fratric) из подразделения Google Project Zero

CVE-2018-4312: Иван Фратрик (Ivan Fratric) из подразделения Google Project Zero

CVE-2018-4314: Иван Фратрик (Ivan Fratric) из подразделения Google Project Zero

CVE-2018-4315: Иван Фратрик (Ivan Fratric) из подразделения Google Project Zero

CVE-2018-4317: Иван Фратрик (Ivan Fratric) из подразделения Google Project Zero

CVE-2018-4318: Иван Фратрик (Ivan Fratric) из подразделения Google Project Zero

WebKit

Целевые продукты: Windows 7 и более поздних версий

Воздействие. Вредоносный веб-сайт может извлекать данные изображений из различных источников.

Описание. В Safari возникала проблема, связанная с выполнением межсайтовых сценариев. Проблема устранена путем улучшенной проверки URL-адресов.

CVE-2018-4345: Дзюн Кокатсу (Jun Kokatsu, @shhnjk)

Запись добавлена 10 января 2019 г.

WebKit

Целевые продукты: Windows 7 и более поздних версий

Воздействие. Неожиданное взаимодействие приводит к сбою макроса ASSERT.

Описание. Проблема с использованием памяти устранена путем улучшенной обработки обращений к памяти.

CVE-2018-4361: обнаружено с помощью инструмента OSS-Fuzz

CVE-2018-4474: обнаружено с помощью инструмента OSS-Fuzz

Запись обновлена 22 января 2019 г.

Дополнительные благодарности

SQLite

Выражаем благодарность Андреасу Курцу (Andreas Kurtz, @aykay) из компании NESO Security Labs GmbH за помощь.

WebKit

Выражаем благодарность Кэри Хартлайн (Cary Hartline), Ханмину Чжану (Hanming Zhang) из группы 360 Vulcan, отделу по безопасности Keen Security Lab компании Tencent, сотрудничающему с компанией Trend Micro в рамках программы Zero Day Initiative и Заку Малоуну (Zach Malone) из компании CA Technologies за помощь.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: