เกี่ยวกับเนื้อหาความปลอดภัยของ iTunes 12.10.2 สำหรับ Windows

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ iTunes 12.10.2 สำหรับ Windows

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

iTunes 12.10.2 สำหรับ Windows

เปิดตัวเมื่อวันที่ 30 ตุลาคม 2019

ไดรเวอร์กราฟิก

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8784: Vasiliy Vasilyev และ Ilya Finogeev จาก Webinar, LLC

iTunes

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การเรียกใช้ตัวติดตั้ง iTunes ในไดเรกทอรีที่ไม่น่าเชื่อถืออาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาเกี่ยวกับการโหลดคลังแบบไดนามิกในการตั้งค่า iTunes ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการค้นหาเส้นทางให้ดียิ่งขึ้น

CVE-2019-8801: Hou JingYi (@hjy79425575) จาก Qihoo 360 CERT

WebKit

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8813: นักวิจัยนิรนาม

WebKit

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8782: Cheolung Lee จาก LINE+ Security Team

CVE-2019-8783: Cheolung Lee จาก LINE+ Graylab Security Team

CVE-2019-8808: พบโดย OSS-Fuzz

CVE-2019-8811: Soyeon Park จาก SSLab ที่ Georgia Tech

CVE-2019-8812: นักวิจัยนิรนาม

CVE-2019-8814: Cheolung Lee จาก LINE+ Security Team

CVE-2019-8816: Soyeon Park จาก SSLab ที่ Georgia Tech

CVE-2019-8819: Cheolung Lee จาก LINE+ Security Team

CVE-2019-8820: Samuel Groß จาก Google Project Zero

CVE-2019-8821: Sergei Glazunov จาก Google Project Zero

CVE-2019-8822: Sergei Glazunov จาก Google Project Zero

CVE-2019-8823: Sergei Glazunov จาก Google Project Zero

แบบจำลองกระบวนการ WebKit

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8815: Apple

คำขอบคุณพิเศษ

CFNetwork

เราขอขอบคุณสำหรับความช่วยเหลือจาก Lily Chen จาก Google

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Dlive จาก Tencent's Xuanwu Lab และ Zhiyi Zhang จาก Codesafe Team จาก Legendsec ที่ Qi'anxin Group

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: