Obsah zabezpečenia v aplikácii iTunes 12.9.4 pre Windows
V tomto dokumente sa popisuje obsah zabezpečenia v aplikácii iTunes 12.9.4 pre Windows.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.
Ak je to možné, dokumenty spoločnosti Apple týkajúce sa zabezpečenia odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple.
iTunes 12.9.4 pre Windows
CoreCrypto
Dostupné pre: Windows 7 a novší
Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-8542: Anonymný výskumník
WebKit
Dostupné pre: Windows 7 a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2019-6201: dwfault v spolupráci s tímom ADLab zo spoločnosti Venustech
CVE-2019-8518: Samuel Groß z tímu Google Project Zero
CVE-2019-8523: Apple
CVE-2019-8524: G. Geshev v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8558: Samuel Groß z tímu Google Project Zero
CVE-2019-8559: Apple
CVE-2019-8563: Apple
CVE-2019-8638: Nájdené programom OSS-Fuzz
CVE-2019-8639: Nájdené programom OSS-Fuzz
WebKit
Dostupné pre: Windows 7 a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8506: Samuel Groß z tímu Google Project Zero
WebKit
Dostupné pre: Windows 7 a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8535: Zhiyang Zeng (@Wester) z tímu Tencent Blade Team
WebKit
Dostupné pre: Windows 7 a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2019-6201: dwfault v spolupráci s tímom ADLab zo spoločnosti Venustech
CVE-2019-8518: Samuel Groß z tímu Google Project Zero
CVE-2019-8523: Apple
CVE-2019-8524: G. Geshev v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8558: Samuel Groß z tímu Google Project Zero
CVE-2019-8559: Apple
CVE-2019-8563: Apple
WebKit
Dostupné pre: Windows 7 a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k odhaleniu citlivých používateľských informácií
Popis: V rozhraní API na načítanie dát dochádzalo k problému so zámenou pôvodu. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2019-8515: James Lee (@Windowsrcer)
WebKit
Dostupné pre: Windows 7 a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8536: Apple
CVE-2019-8544: Anonymný výskumník
WebKit
Dostupné pre: Windows 7 a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím po uvoľnení, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-7285: dwfault v spolupráci s tímom ADLab zo spoločnosti Venustech
CVE-2019-8556: Apple
WebKit
Dostupné pre: Windows 7 a novší
Dopad: Webová stránka so škodlivým kódom môže byť schopná spúšťať skripty v kontexte inej webovej lokality
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2019-8503: Linus Särud zo spoločnosti Detectify
WebKit
Dostupné pre: Windows 7 a novší
Dopad: Izolovaný proces môže byť schopný obísť obmedzenia izolovaného priestoru
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2019-8562: Wen Xu z tímu SSLab na univerzite Georgia Tech a Hanqing Zhao z tímu Chaitin Security Research Lab
WebKit
Dostupné pre: Windows 7 a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.
CVE-2019-7292: Zhunki a Zhiyi Zhang z tímu 360 ESG Codesafe Team
WebKit
Dostupné pre: Windows 7 a novší
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2019-8551: Ryan Pickren (ryanpickren.com)
Ďalšie poďakovanie
Safari
Poďakovanie za pomoc si zaslúžia Nikhil Mittal (@c0d3G33k) z tímu Payatu Labs (payatu.com) a Ryan Pickren (ryanpickren.com).
WebKit
Poďakovanie za pomoc si zaslúži Andrey Kovalev z tímu Yandex Security Team.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.