Проблеми системи безпеки, які вирішено в iTunes 12.9.6 для Windows
Цей документ перелічує проблеми системи безпеки, які вирішено в iTunes 12.9.6 для Windows.
Відомості про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми та не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.
Документи про безпеку Apple класифікують вразливості за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, див. сторінку безпеки продуктів Apple.
iTunes 12.9.6 для Windows
libxslt
Цільові продукти: Windows 7 і новіших версій
Вплив: зловмисник може віддалено переглядати конфіденційну інформацію.
Опис: переповнення стека усунуто завдяки поліпшенню перевірки вводу.
CVE-2019-13118: виявлено за допомогою інструмента OSS-Fuzz
WebKit
Цільові продукти: Windows 7 і новіших версій
Вплив: обробка шкідливого вебвмісту може призводити до виконання універсальних міжсайтових сценаріїв.
Опис: проблему з логікою вирішено шляхом поліпшення керування станами.
CVE-2019-8658: користувач akayn, що співпрацює з компанією Trend Micro в рамках ініціативи «Zero Day Initiative»
WebKit
Цільові продукти: Windows 7 і новіших версій
Вплив: обробка шкідливого вебвмісту може призводити до виконання універсальних міжсайтових сценаріїв.
Опис: під час обробки завантажень документів виникала логічна помилка. Цю помилку усунуто завдяки поліпшенню керування станами.
CVE-2019-8690: Сергій Глазунов (Sergei Glazunov) із підрозділу Google Project Zero
WebKit
Цільові продукти: Windows 7 і новіших версій
Вплив: обробка шкідливого вебвмісту може призводити до виконання довільного коду.
Опис: декілька проблем із пошкодженням даних у пам’яті вирішено шляхом поліпшення обробки звернень до пам’яті.
CVE-2019-8644: Г. Гешев (G. Geshev), котрий співпрацює з компанією Trend Micro в рамках ініціативи «Zero Day Initiative»
CVE-2019-8666: Цонмін Ван (Zongming Wang) (王宗明) і Чже Чінь (Zhe Jin) (金哲) із Chengdu Security Response Center (компанія Qihoo 360 Technology Co. Ltd.)
CVE-2019-8669: користувач akayn, що співпрацює з компанією Trend Micro в рамках ініціативи «Zero Day Initiative»
CVE-2019-8671: фахівці Apple
CVE-2019-8672: Самуель Гросс (Samuel Groß) із підрозділу Google Project Zero
CVE-2019-8673: Соєон Парк (Soyeon Park) і Вен Шу (Wen Xu) із SSLab (Технологічний інститут Джорджії)
CVE-2019-8676: Соєон Парк (Soyeon Park) і Вен Шу (Wen Xu) із SSLab (Технологічний інститут Джорджії)
CVE-2019-8677: Джіхуі Лу (Jihui Lu) із Tencent KeenLab
CVE-2019-8678: Ентоні Лай (Anthony Lai) (@darkfloyd1014) із Knownsec, Кен Вонг (Ken Wong) (@wwkenwong) із VXRL, Джеонхун Сін (Jeonghoon Shin) (@singi21a) із Theori, Джонні Ю (Johnny Yu) (@straight_blast) із VX Browser Exploitation Group, Кріс Чан (Chris Chan) (@dr4g0nfl4me) із VX Browser Exploitation Group, Філ Мок (Phil Mok) (@shadyhamsters) із VX Browser Exploitation Group, Алан Хо (Alan Ho) (@alan_h0) із Knownsec, Байрон Вай (Byron Wai) із VX Browser Exploitation, користувач P1umer з ADLab (компанія Venustech)
CVE-2019-8679: Джіхуі Лу (Jihui Lu) із Tencent KeenLab
CVE-2019-8680: Джіхуі Лу (Jihui Lu) із Tencent KeenLab
CVE-2019-8681: Г. Гешев (G. Geshev), котрий співпрацює з компанією Trend Micro в рамках ініціативи «Zero Day Initiative»
CVE-2019-8683: користувач lokihardt із підрозділу Google Project Zero
CVE-2019-8684: користувач lokihardt із підрозділу Google Project Zero
CVE-2019-8685: користувач akayn, Дончжуо Чжао (Dongzhuo Zhao) із ADLab (компанія Venustech), Кен Вонг (Ken Wong) (@wwkenwong) із VXRL, Ентоні Лай (Anthony Lai) (@darkfloyd1014) із VXRL і Ерік Лан (Eric Lung) (@Khlung1) із VXRL
CVE-2019-8686: Г. Гешев (G. Geshev), котрий співпрацює з компанією Trend Micro в рамках ініціативи «Zero Day Initiative»
CVE-2019-8687: фахівці Apple
CVE-2019-8688: Інсу Юн (Insu Yun) із SSLab (Технологічний інститут Джорджії)
CVE-2019-8689: користувач lokihardt із підрозділу Google Project Zero
WebKit
Цільові продукти: Windows 7 і новіших версій
Вплив: обробка шкідливого вебвмісту може призводити до виконання універсальних міжсайтових сценаріїв.
Опис: під час обробки синхронних завантажень сторінок виникала логічна помилка. Цю помилку усунуто завдяки поліпшенню керування станами.
CVE-2019-8649: Сергій Глазунов (Sergei Glazunov) із підрозділу Google Project Zero
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.