Проблемы системы безопасности, устраняемые обновлением iTunes 12.10.8 для Windows

В этом документе описываются проблемы системы безопасности, устраняемые обновлением iTunes 12.10.8 для Windows.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице обновлений системы безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения о безопасности см. на странице, посвященной безопасности продуктов Apple.

Обновления программного обеспечения для iTunes 12.10.8 для Windows

Выпущено 30 июля 2020 г.

CoreGraphics

Целевые продукты: Windows 7 и более поздние версии.

Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

CVE-2020-9883: анонимный исследователь, Микки Джин (Mickey Jin) из Trend Micro

Запись добавлена 21 сентября 2020 г. и обновлена 15 декабря 2020 г.

ImageIO

Целевые продукты: Windows 7 и более поздние версии.

Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2020-27933: Синвэй Лин (Xingwei Lin) из Ant-Financial Light-Year Security Lab

Запись добавлена 16 марта 2021 г.

ImageIO

Целевые продукты: Windows 7 и более поздние версии.

Воздействие. В openEXR возникал ряд проблем переполнения буфера.

Описание. Ряд проблем в openEXR устранен путем улучшения проверок.

CVE-2020-11758: Синвэй Лин (Xingwei Lin) из Ant-Financial Light-Year Security Lab

CVE-2020-11759: Синвэй Лин (Xingwei Lin) из Ant-Financial Light-Year Security Lab

CVE-2020-11760: Синвэй Лин (Xingwei Lin) из Ant-Financial Light-Year Security Lab

CVE-2020-11761: Синвэй Лин (Xingwei Lin) из Ant-Financial Light-Year Security Lab

CVE-2020-11762: Синвэй Лин (Xingwei Lin) из Ant-Financial Light-Year Security Lab

CVE-2020-11763: Синвэй Лин (Xingwei Lin) из Ant-Financial Light-Year Security Lab

CVE-2020-11764: Синвэй Лин (Xingwei Lin) из Ant-Financial Light-Year Security Lab

CVE-2020-11765: Синвэй Лин (Xingwei Lin) из Ant-Financial Light-Year Security Lab

Запись добавлена 8 сентября 2020 г.

ImageIO

Целевые продукты: Windows 7 и более поздние версии.

Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2020-9871: Синвэй Лин (Xingwei Lin) из Ant-Financial Light-Year Security Lab

CVE-2020-9872: Синвэй Лин (Xingwei Lin) из Ant-Financial Light-Year Security Lab

CVE-2020-9874: Синвэй Лин (Xingwei Lin) из Ant-Financial Light-Year Security Lab

CVE-2020-9879: Синвэй Лин (Xingwei Lin) из Ant-Financial Light-Year Security Lab

CVE-2020-9936: Микки Джин (Mickey Jin) из компании Trend Micro

CVE-2020-9937: Синвэй Лин (Xingwei Lin) из Ant-Financial Light-Year Security Lab

ImageIO

Целевые продукты: Windows 7 и более поздние версии.

Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2020-9873: Синвэй Лин (Xingwei Lin) из Ant-Financial Light-Year Security Lab

CVE-2020-9938: Синвэй Лин (Xingwei Lin) из Ant-Financial Light-Year Security Lab

CVE-2020-9984: анонимный исследователь

Запись обновлена 21 сентября 2020 г.

ImageIO

Целевые продукты: Windows 7 и более поздние версии.

Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

CVE-2020-9919: Микки Джин (Mickey Jin) из компании Trend Micro

ImageIO

Целевые продукты: Windows 7 и более поздние версии.

Воздействие. Открытие вредоносного файла PDF может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2020-9876: Микки Джин (Mickey Jin) из компании Trend Micro

ImageIO

Целевые продукты: Windows 7 и более поздние версии.

Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2020-9877: Синвэй Лин (Xingwei Lin) из Ant-Financial Light-Year Security Lab

ImageIO

Целевые продукты: Windows 7 и более поздние версии.

Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.

Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.

CVE-2020-9875: Микки Джин (Mickey Jin) из компании Trend Micro

libxml2

Целевые продукты: Windows 7 и более поздние версии.

Воздействие. Обработка вредоносного кода XML может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2020-9926: обнаружено с помощью инструмента OSS-Fuzz

Запись добавлена 16 марта 2021 г.

WebKit

Целевые продукты: Windows 7 и более поздние версии.

Воздействие. Злоумышленник может удаленно вызвать неожиданное завершение работы приложения или выполнение произвольного кода.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2020-9894: пользователь 0011, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

WebKit

Целевые продукты: Windows 7 и более поздние версии.

Воздействие. Обработка вредоносного веб-содержимого может препятствовать выполнению правил обеспечения безопасности содержимого.

Описание. При выполнении правил обеспечения безопасности содержимого возникала проблема доступа.  Проблема устранена путем улучшения ограничений доступа.

CVE-2020-9915: Аюб Аит Эльмохтар (Ayoub AIT ELMOKHTAR) из Noon

WebKit

Целевые продукты: Windows 7 и более поздние версии.

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению универсальных межсайтовых сценариев.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2020-9925: анонимный исследователь

WebKit

Целевые продукты: Windows 7 и более поздние версии.

Воздействие. Злоумышленник может удаленно вызвать неожиданное завершение работы приложения или выполнение произвольного кода.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2020-9893: пользователь 0011, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

CVE-2020-9895: Вэнь Сюй (Wen Xu) из подразделения SSLab Технологического института Джорджии

WebKit

Целевые продукты: Windows 7 и более поздние версии.

Воздействие. Злоумышленник с произвольными возможностями чтения и записи может обойти аутентификацию указателя.

Описание. Ряд проблем устранен путем улучшения логики.

CVE-2020-9910: Самуэль Гросс (Samuel Groß) из подразделения Google Project Zero

Загрузка страниц WebKit

Целевые продукты: Windows 7 и более поздние версии.

Воздействие. Злоумышленник может скрыть место назначения URL-адреса.

Описание. Проблема с Unicode-кодированием URL-адресов устранена путем улучшенного управления состояниями.

CVE-2020-9916: Ракеш Мане (Rakesh Mane, @RakeshMane10)

Веб-инспектор в WebKit

Целевые продукты: Windows 7 и более поздние версии.

Воздействие. Копирование URL-адреса из веб-инспектора может приводить к внедрению команд.

Описание. В веб-инспекторе существовала проблема внедрения команд. Проблема устранена путем улучшения алгоритма escape-последовательностей.

CVE-2020-9862: Офир Ложикини (Ophir Lojkine, @lovasoa)

Дополнительные благодарности

ImageIO

Выражаем благодарность за помощь Синвэю Лину (Xingwei Lin) из Ant-Financial Light-Year Security Lab.

Запись добавлена 21 сентября 2020 г.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: