เกี่ยวกับเนื้อหาความปลอดภัยของ iTunes 12.10.1 สำหรับ Windows
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ iTunes 12.10.1 สำหรับ Windows
เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
iTunes 12.10.1 สำหรับ Windows
CoreCrypto
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: การประมวลผลอินพุตขนาดใหญ่อาจทำให้ระบบปฏิเสธการให้บริการได้
คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8741: Nicky Mouha จาก NIST
CoreMedia
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-8825: พบโดย GWP-ASan ใน Google Chrome
Foundation
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8746: natashenka และ Samuel Groß จาก Google Project Zero
libxml2
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: มีปัญหาหลายประการใน libxml2
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8749: พบโดย OSS-Fuzz
CVE-2019-8756: พบโดย OSS-Fuzz
libxslt
มีให้สำหรับ: Windows 7 และใหม่กว่า
ผลกระทบ: มีปัญหาหลายประการใน libxslt
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8750: พบโดย OSS-Fuzz
UIFoundation
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: การประมวลผลไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2019-8745: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
WebKit
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-8625: Sergei Glazunov จาก Google Project Zero
CVE-2019-8719: Sergei Glazunov จาก Google Project Zero
CVE-2019-8764: Sergei Glazunov จาก Google Project Zero
WebKit
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8707: นักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, cc ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2019-8710: พบโดย OSS-Fuzz
CVE-2019-8726: Jihui Lu จาก Tencent KeenLab
CVE-2019-8728: Junho Jang จาก LINE Security Team และ Hanul Choi จาก ABLY Corporation
CVE-2019-8733: Sergei Glazunov จาก Google Project Zero
CVE-2019-8734: พบโดย OSS-Fuzz
CVE-2019-8735: G. Geshev ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2019-8743: zhunki จาก Codesafe Team จาก Legendsec ที่ Qi'anxin Group
CVE-2019-8751: Dongzhuo Zhao ที่ทำงานร่วมกับ ADLab of Venustech
CVE-2019-8752: Dongzhuo Zhao ที่ทำงานร่วมกับ ADLab of Venustech
CVE-2019-8763: Sergei Glazunov จาก Google Project Zero
CVE-2019-8765: Samuel Groß จาก Google Project Zero
CVE-2019-8766: พบโดย OSS-Fuzz
CVE-2019-8773: พบโดย OSS-Fuzz
WebKit
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น
CVE-2019-8762: Sergei Glazunov จาก Google Project Zero
คำขอบคุณพิเศษ
รายการอัพเดทซอฟต์แวร์
เราขอขอบคุณสำหรับความช่วยเหลือจาก Michael Gorelik (@smgoreli) จาก Morphisec (morphisec.com)
WebKit
เราขอขอบคุณสำหรับความช่วยเหลือจาก MinJeong Kim จาก Information Security Lab, Chungnam National University, JaeCheol Ryou จาก Information Security Lab, Chungnam National University ในเกาหลีใต้, Yiğit Can YILMAZ (@yilmazcanyigit), Zhihua Yao จาก DBAPPSecurity Zion Lab
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม