Сведения о проблемах системы безопасности, устраняемых обновлением iTunes 12.9.1 для Windows

В этом документе описываются проблемы системы безопасности, устраняемые обновлением iTunes 12.9.1 для Windows.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

iTunes 12.9.1 для Windows

Дата выпуска: 30 октября 2018 г.

CoreCrypto

Целевые продукты: Windows 7 и более поздней версии

Воздействие. Злоумышленник может воспользоваться уязвимостью в тесте Миллера — Рабина для определения простых чисел, в результате чего последние определяются ошибочно.

Описание. Возникала проблема со способом определения простых чисел. Проблема была устранена путем использования псевдослучайных баз для определения простых чисел.

CVE-2018-4398: Мартин Альбрехт (Martin Albrecht), Джейк Массимо (Jake Massimo) и Кенни Патерсон (Kenny Paterson) из колледжа Ройал-Холлоуэй при Лондонском университете, а также Юрий Соморовский (Juraj Somorovsky) из Рурского университета в Бохуме

ICU

Целевые продукты: Windows 7 и более поздней версии

Воздействие. Обработка вредоносной строки может приводить к повреждению динамической памяти.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2018-4394: Эрик Фербругген (Erik Verbruggen) из The Qt Company

Запись обновлена 18 декабря 2018 г.

Safari Reader

Целевые продукты: Windows 7 и более поздней версии

Воздействие. Включение функции Safari Reader на вредоносной веб-странице может приводить к выполнению универсальных межсайтовых сценариев.

Описание. Проблема с логикой устранена путем улучшенной проверки.

CVE-2018-4374: Райан Пикрен (Ryan Pickren, ryanpickren.com)

Safari Reader

Целевые продукты: Windows 7 и более поздней версии

Воздействие. Включение функции Safari Reader на вредоносной веб-странице может приводить к выполнению универсальных межсайтовых сценариев.

Описание. В Safari возникала проблема, связанная с выполнением межсайтовых сценариев. Проблема устранена путем улучшенной проверки URL-адресов.

CVE-2018-4377: Райан Пикрен (Ryan Pickren, ryanpickren.com)

WebKit

Целевые продукты: Windows 7 и более поздней версии

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.

CVE-2018-4372: Хёнсок Хан (HyungSeok Han), Донхьен Ох (DongHyeon Oh) и Сан Кил Ча (Sang Kil Cha) из лаборатории SoftSec института KAIST (Южная Корея)

CVE-2018-4373: пользователи ngg, alippai, DirtYiCE и KT из компании Tresorit, сотрудничающие с компанией Trend Micro в рамках программы Zero Day Initiative

CVE-2018-4375: Ю Хайвань (Yu Haiwan) и Ву Хондзюн (Wu Hongjun) из Наньянского технологического университета, сотрудничающие с компанией Trend Micro в рамках программы Zero Day Initiative

CVE-2018-4376: пользователь 010, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

CVE-2018-4382: пользователь lokihardt из подразделения Google Project Zero

CVE-2018-4386: пользователь lokihardt из подразделения Google Project Zero

CVE-2018-4392: пользователь zhunki из подразделения 360 ESG Codesafe

CVE-2018-4416: пользователь lokihardt из подразделения Google Project Zero

WebKit

Целевые продукты: Windows 7 и более поздней версии

Воздействие. Вредоносный веб-сайт может вызвать отказ в обслуживании.

Описание. Проблема с исчерпанием ресурсов устранена путем улучшенной проверки ввода.

CVE-2018-4409: Сабри Хаддуш (Sabri Haddouche, @pwnsdx) из компании Wire Swiss GmbH

WebKit

Целевые продукты: Windows 7 и более поздней версии

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки.

CVE-2018-4378: Хёнсок Хан (HyungSeok Han), Донхьен Ох (DongHyeon Oh) и Сан Кил Ча (Sang Kil Cha) из лаборатории SoftSec института KAIST (Южная Корея), пользователь zhunki из подразделения 360 ESG Codesafe

Запись обновлена 18 декабря 2018 г.

Дополнительные благодарности

Safari Reader

Выражаем благодарность за помощь Райану Пикрену (Ryan Pickren, ryanpickren.com).

Запись добавлена 3 апреля 2019 г.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: