เกี่ยวกับเนื้อหาความปลอดภัยของ iTunes 12.9.1 สำหรับ Windows
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ iTunes 12.9.1 สำหรับ Windows
เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
iTunes 12.9.1 สำหรับ Windows
CoreCrypto
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: ผู้โจมตีอาจใช้จุดอ่อนในการทดสอบเบื้องต้นแบบ Miller-Rabin เพื่อระบุจำนวนไพร์มที่ไม่ถูกต้องได้
คำอธิบาย: มีปัญหาในวิธีการระบุจำนวนไพร์ม ปัญหานี้ได้รับการแก้ไขแล้วโดยใช้ฐานสมมุติฐานสำหรับการทดสอบไพร์ม
CVE-2018-4398: Martin Albrecht, Jake Massimo และ Kenny Paterson จาก Royal Holloway, University of London และ Juraj Somorovsky จาก Ruhr University, Bochum
ICU
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: การประมวลผลสตริงที่สร้างขึ้นโดยมีประสงค์ร้ายอาจนำไปสู่การล่มของฮีพ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2018-4394: Erik Verbruggen จาก The Qt Company
ตัวอ่าน Safari
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: การเปิดใช้งานคุณสมบัติตัวอ่านหน้าเว็บของ Safari บนหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2018-4374: Ryan Pickren (ryanpickren.com)
ตัวอ่าน Safari
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: การเปิดใช้งานคุณสมบัติตัวอ่านหน้าเว็บของ Safari บนหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้
คำอธิบาย: มีปัญหาการแฝงสคริปต์ (Cross-site Scripting) ใน Safari ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ URL ให้ดียิ่งขึ้น
CVE-2018-4377: Ryan Pickren (ryanpickren.com)
WebKit
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2018-4372: HyungSeok Han, DongHyeon Oh และ Sang Kil Cha จาก KAIST Softsec Lab, Korea
CVE-2018-4373: ngg, alippai, DirtYiCE, KT จาก Tresorit ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2018-4375: Yu Haiwan และ Wu Hongjun จาก Nanyang Technological University ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2018-4376: 010 ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2018-4382: lokihardt จาก Google Project Zero
CVE-2018-4386: lokihardt จาก Google Project Zero
CVE-2018-4392: zhunki จาก 360 ESG Codesafe Team
CVE-2018-4416: lokihardt จาก Google Project Zero
WebKit
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปฏิเสธบริการ
คำอธิบาย: ปัญหาทรัพยากรลดลงได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2018-4409: Sabri Haddouche (@pwnsdx) จาก Wire Swiss GmbH
WebKit
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ด
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2018-4378: HyungSeok Han, DongHyeon Oh และ Sang Kil Cha จาก KAIST Softsec Lab เกาหลี, zhunki จาก 360 ESG Codesafe Team
คำขอบคุณพิเศษ
ตัวอ่าน Safari
เราขอขอบคุณสำหรับความช่วยเหลือจาก Ryan Pickren (ryanpickren.com)
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม