เกี่ยวกับเนื้อหาด้านการรักษาความปลอดภัยของ iTunes 12.9.1

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านการรักษาความปลอดภัยของ iTunes 12.9.1

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

iTunes 12.9.1

เปิดตัวเมื่อวันที่ 30 ตุลาคม 2018

CoreCrypto

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: ผู้โจมตีอาจสามารถใช้จุดอ่อนในการทดสอบความเป็นจำนวนเฉพาะของ Miller-Rabin เพื่อระบุจำนวนเฉพาะที่ไม่ถูกต้อง

คำอธิบาย: ปัญหานี้เกิดขึ้นในวิธีการระบุจำนวนเฉพาะ ปัญหานี้ได้รับการแก้ไขโดยใช้ฐานตัวสร้างเลขสุ่มเทียมสำหรับการทดสอบของจำนวนเฉพาะ

CVE-2018-4398: Martin Albrecht, Jake Massimo และ Kenny Paterson จาก Royal Holloway, University of London และ Juraj Somorovsky จาก Ruhr University, Bochum

ICU

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผลสตริงที่สร้างขึ้นโดยมีประสงค์ร้ายอาจนำไปสู่การล่มของฮีพ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4394: นักวิจัยนิรนาม

ตัวอ่าน Safari

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การเปิดใช้งานคุณสมบัติตัวอ่านหน้าเว็บของ Safari บนหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4374: Ryan Pickren (ryanpickren.com)

ตัวอ่าน Safari

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การเปิดใช้งานคุณสมบัติตัวอ่านหน้าเว็บของ Safari บนหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: มีปัญหาการแฝงสคริปต์ (Cross-site Scripting) ใน Safari ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ URL ให้ดียิ่งขึ้น

CVE-2018-4377: Ryan Pickren (ryanpickren.com)

WebKit

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4372: HyungSeok Han, DongHyeon Oh และ Sang Kil Cha จาก KAIST Softsec Lab, Korea

CVE-2018-4373: ngg, alippai, DirtYiCE, KT จาก Tresorit ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2018-4375: Yu Haiwan และ Wu Hongjun จาก Nanyang Technological University ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2018-4376: 010 ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2018-4382: lokihardt จาก Google Project Zero

CVE-2018-4386: lokihardt จาก Google Project Zero

CVE-2018-4392: zhunki จาก 360 ESG Codesafe Team

CVE-2018-4416: lokihardt จาก Google Project Zero

WebKit

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปฏิเสธบริการ

คำอธิบาย: ปัญหาทรัพยากรลดลงได้รับการแก้ไขแล้วด้วยการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4409: Sabri Haddouche (@pwnsdx) จาก Wire Swiss GmbH

WebKit

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ด

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4378: นักวิจัยนิรนาม zhunki จาก 360 ESG Codesafe Team

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: