เกี่ยวกับเนื้อหาความปลอดภัยของ iTunes 12.5.1 สำหรับ Windows

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ iTunes 12.5.1 สำหรับ Windows

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้า รายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้า ความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้ คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

iTunes 12.5.1 สำหรับ Windows

เปิดตัวเมื่อวันที่ 13 กันยายน 2016

WebKit

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาการแยกวิเคราะห์ในการจัดการโปรโตคอลข้อผิดพลาด ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2016-4728: Daniel Divricean

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

WebKit

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ข้อมูลสำคัญรั่วไหลได้

คำอธิบาย: มีปัญหาสิทธิ์อนุญาตในการจัดการตัวแปรด้านตำแหน่งที่ตั้ง ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบสถานะความเป็นเจ้าของเพิ่มเติม

CVE-2016-4758: Masato Kinugawa จาก Cure53

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

WebKit

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4759: Tongbo Luo จาก Palo Alto Networks

CVE-2016-4762: Zheng Huang จาก Baidu Security Lab

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

WebKit

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: เว็บไซต์ที่เป็นอันตรายอาจเข้าถึงบริการที่ไม่ใช่ HTTP ได้

คำอธิบาย: การรองรับการใช้งาน HTTP/0.9 ใน Safari ทำให้เกิดการใช้งานข้ามโปรโตคอลอย่างไม่ถูกต้องในบริการที่ไม่ใช่ HTTP โดยใช้การโจมตีแบบ DNS rebinding ปัญหานี้ได้รับการแก้ไขแล้วโดยจำกัดการตอบสนอง HTTP/0.9 กับพอร์ตตามค่าเริ่มต้นและยกเลิกการโหลดแหล่งข้อมูล หากเอกสารนั้นโหลดโดยใช้โปรโตคอล HTTP เวอร์ชั่นอื่น

CVE-2016-4760: Jordan Milne

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

WebKit

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วโดยปรับปรุงการจัดการสถานะ

CVE-2016-4765: Apple

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

WebKit

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: ผู้โจมตีที่มีสิทธิ์ในระดับเครือข่ายอาจสกัดและปรับเปลี่ยนการรับส่งข้อมูลบนเครือข่ายที่ส่งไปยังแอพพลิเคชั่น โดยใช้ WKWebView กับ HTTPS

คำอธิบาย: มีปัญหาการตรวจสอบใบรับรองในการจัดการ WKWebView ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2016-4763: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

WebKit

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-4769: Tongbo Luo จาก Palo Alto Networks

เพิ่มรายการเมื่อวันที่ 20 กันยายน 2016

WebKit

มีให้สำหรับ: มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2016-4764: Apple

เพิ่มรายการเมื่อวันที่ 3 พฤศจิการยน 2016

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: