เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
iTunes 12.10.2 สำหรับ Windows
เปิดตัวเมื่อวันที่ 30 ตุลาคม 2019
ไดรเวอร์กราฟิก
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8784: Vasiliy Vasilyev และ Ilya Finogeev จาก Webinar, LLC
iTunes
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: การเรียกใช้ตัวติดตั้ง iTunes ในไดเรกทอรีที่ไม่น่าเชื่อถืออาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาเกี่ยวกับการโหลดคลังแบบไดนามิกในการตั้งค่า iTunes ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการค้นหาเส้นทางให้ดียิ่งขึ้น
CVE-2019-8801: Hou JingYi (@hjy79425575) จาก Qihoo 360 CERT
WebKit
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-8813: นักวิจัยนิรนาม
WebKit
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8782: Cheolung Lee จาก LINE+ Security Team
CVE-2019-8783: Cheolung Lee จาก LINE+ Graylab Security Team
CVE-2019-8808: พบโดย OSS-Fuzz
CVE-2019-8811: Soyeon Park จาก SSLab ที่ Georgia Tech
CVE-2019-8812: JunDong Xie จาก Ant-financial Light-Year Security Lab
CVE-2019-8814: Cheolung Lee จาก LINE+ Security Team
CVE-2019-8816: Soyeon Park จาก SSLab ที่ Georgia Tech
CVE-2019-8819: Cheolung Lee จาก LINE+ Security Team
CVE-2019-8820: Samuel Groß จาก Google Project Zero
CVE-2019-8821: Sergei Glazunov จาก Google Project Zero
CVE-2019-8822: Sergei Glazunov จาก Google Project Zero
CVE-2019-8823: Sergei Glazunov จาก Google Project Zero
อัพเดทรายการเมื่อวันที่ 18 พฤศจิกายน 2019
WebKit
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยเว็บไซต์ที่ผู้ใช้เคยเยี่ยมชมได้
คำอธิบาย: ส่วนหัวของ HTTP ที่ทำการอ้างอิงอาจถูกใช้ในการทำให้ประวัติการเรียกดูรั่วไหล ปัญหาดังกล่าวได้รับการแก้ไขแล้วโดยการดาวน์เกรดผู้อ้างอิงของบริษัทอื่นทั้งหมดไปยังต้นทาง
CVE-2019-8827: Artur Janc, Krzysztof Kotowicz, Lukas Weichselbaum, และ Roberto Clapis จาก Google Security Team
เพิ่มรายการเมื่อวันที่ 3 กุมภาพันธ์ 2020
แบบจำลองกระบวนการ WebKit
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8815: Apple
คำขอบคุณพิเศษ
CFNetwork
เราขอขอบคุณสำหรับความช่วยเหลือจาก Lily Chen จาก Google
WebKit
เราขอขอบคุณสำหรับความช่วยเหลือจาก Dlive จาก Tencent's Xuanwu Lab และ Zhiyi Zhang จาก Codesafe Team จาก Legendsec ที่ Qi'anxin Group