Obsah zabezpečenia v aplikácii iTunes 12.10.5 pre Windows

V tomto dokumente sa popisuje obsah zabezpečenia v aplikácii iTunes 12.10.5 pre Windows.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

iTunes 12.10.5 pre Windows

libxml2

K dispozícii pre: Windows 7 a novší

Dopad: Viacero problémov v knižnici libxml2

Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania veľkosti.

CVE-2020-3910: LGTM.com

libxml2

K dispozícii pre: Windows 7 a novší

Dopad: Viacero problémov v knižnici libxml2

Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-3909: LGTM.com

CVE-2020-3911: Nájdené programom OSS-Fuzz

WebKit

K dispozícii pre: Windows 7 a novší

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2020-3901: Benjamin Randazzo (@____benjamin)

WebKit

K dispozícii pre: Windows 7 a novší

Dopad: Zdroj stiahnutého súboru môže byť nesprávny priradený

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2020-3887: Ryan Pickren (ryanpickren.com)

WebKit

K dispozícii pre: Windows 7 a novší

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2020-3895: grigoritchy

CVE-2020-3900: Dongzhuo Zhao v spolupráci s tímom ADLab spoločnosti Venustech

WebKit

K dispozícii pre: Windows 7 a novší

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2020-3894: Sergei Glazunov z tímu Google Project Zero

WebKit

K dispozícii pre: Windows 7 a novší

Dopad: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného kódu

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2020-3897: Brendan Draper (@6r3nd4n) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

WebKit

K dispozícii pre: Windows 7 a novší

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu kódu

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2020-9783: Apple

WebKit

K dispozícii pre: Windows 7 a novší

Dopad: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2020-3899: Nájdené programom OSS-Fuzz

WebKit

K dispozícii pre: Windows 7 a novší

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)

Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-3902: Yiğit Can YILMAZ (@yilmazcanyigit)

Načítavanie stránok mechanizmom WebKit

K dispozícii pre: Windows 7 a novší

Dopad: URL adresa súboru môže byť nesprávne spracovaná

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2020-3885: Ryan Pickren (ryanpickren.com)

Ďalšie poďakovanie

WebKit

Poďakovanie za pomoc si zaslúžia Emilio Cobos Álvarez zo spoločnosti Mozilla, Samuel Groß z tímu Google Project Zero, hearmen.