Obsah zabezpečenia v aplikácii iTunes 12.10.2 pre Windows

V tomto dokumente sa popisuje obsah zabezpečenia v aplikácii iTunes 12.10.2 pre Windows.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

iTunes 12.10.2 pre Windows

Ovládač grafickej karty

K dispozícii pre: Windows 7 a novší

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8784: Vasiliy Vasilyev a Ilya Finogeev zo spoločnosti Webinar, LLC

iTunes

K dispozícii pre: Windows 7 a novší

Dosah: Spustenie inštalátora iTunes v nedôveryhodnom adresári môže viesť k spusteniu ľubovoľného kódu

Popis: Pri nastavovaní iTunes dochádzalo k problému s načítavaním dynamickej knižnice. Tento problém bol vyriešený vylepšením vyhľadávania cesty.

CVE-2019-8801: Hou JingYi (@hjy79425575) z tímu CERT spoločnosti Qihoo 360

WebKit

K dispozícii pre: Windows 7 a novší

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8813: Anonymný výskumník

WebKit

K dispozícii pre: Windows 7 a novší

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2019-8782: Cheolung Lee z tímu LINE+ Security Team

CVE-2019-8783: Cheolung Lee z tímu LINE+ Graylab Security Team

CVE-2019-8808: Nájdené programom OSS-Fuzz

CVE-2019-8811: Soyeon Park z tímu SSLab na univerzite Georgia Tech

CVE-2019-8812: JunDong Xie z tímu Ant-financial Light-Year Security Lab

CVE-2019-8814: Cheolung Lee z tímu LINE+ Security Team

CVE-2019-8816: Soyeon Park z tímu SSLab na univerzite Georgia Tech

CVE-2019-8819: Cheolung Lee z tímu LINE+ Security Team

CVE-2019-8820: Samuel Groß z tímu Google Project Zero

CVE-2019-8821: Sergei Glazunov z tímu Google Project Zero

CVE-2019-8822: Sergei Glazunov z tímu Google Project Zero

CVE-2019-8823: Sergei Glazunov z tímu Google Project Zero

WebKit

K dispozícii pre: Windows 7 a novší

Dosah: Návšteva webovej stránky so škodlivým kódom môže odhaliť stránky, ktoré používateľ navštívil

Popis: Hlavička s refererom HTTP sa môže použiť na únik histórie prehliadania. Problém bol vyriešený znížením verzie všetkých refererov od iných poskytovateľov na pôvodnú verziu.

CVE-2019-8827: Artur Janc, Krzysztof Kotowicz, Lukas Weichselbaum a Roberto Clapis z tímu Google Security Team

Model procesu WebKit

K dispozícii pre: Windows 7 a novší

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2019-8815: Apple

Ďalšie poďakovanie

CFNetwork

Poďakovanie za pomoc si zaslúži Lily Chen zo spoločnosti Google.

WebKit

Poďakovanie za pomoc si zaslúžia Dlive z tímu Xuanwu Lab spoločnosti Tencent a Zhiyi Zhang z tímu Codesafe Team of Legendsec spoločnosti Qi'anxin Group.