Проблеми системи безпеки, які вирішено в iTunes 12.10.1 для Windows

Цей документ перелічує проблеми системи безпеки, які вирішено в iTunes 12.10.1 для Windows.

Відомості про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми та не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.

Документи про безпеку Apple класифікують вразливості за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, див. сторінку безпеки продуктів Apple.

iTunes 12.10.1 для Windows

Випущено 7 жовтня 2019 р.

CoreCrypto

Цільові продукти: Windows 7 і новіших версій

Вплив: обробка великого об’єму вхідних даних може призводити до відмови в обслуговуванні.

Опис: проблему відмови в обслуговуванні вирішено завдяки поліпшенню перевірки вводу.

CVE-2019-8741: Нікі Моуха (Nicky Mouha) із Національного інституту стандартів і технології (NIST)

Запис додано 29 жовтня 2019 р.

CoreMedia

Цільові продукти: Windows 7 і новіших версій

Вплив: обробка шкідливого вебвмісту може призводити до виконання довільного коду.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню керування станами.

CVE-2019-8825: виявлено за допомогою інструмента GWP-ASan у браузері Google Chrome

Запис додано 29 жовтня 2019 р.

Платформа

Цільові продукти: Windows 7 і новіших версій

Вплив: зловмисник може віддалено спричинити несподіване завершення роботи програми або виконання довільного коду.

Опис: проблему читання за межами виділеної області пам’яті вирішено завдяки поліпшенню перевірки вводу.

CVE-2019-8746: Наталі Сільванович (Natalie Silvanovich) і Самуель Грос (Samuel Groß) із Google Project Zero

Запис додано 29 жовтня 2019 р.

libxml2

Цільові продукти: Windows 7 і новіших версій

Вплив: кілька проблем у libxml2.

Опис: кілька проблем із пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки вводу.

CVE-2019-8749: виявлено за допомогою інструмента OSS-Fuzz

CVE-2019-8756: виявлено за допомогою інструмента OSS-Fuzz

Запис додано 29 жовтня 2019 р.

libxslt

Цільові продукти: Windows 7 і новіших версій

Вплив: кілька проблем у libxslt

Опис: кілька проблем із пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки вводу.

CVE-2019-8750: виявлено за допомогою інструмента OSS-Fuzz

Запис додано 29 жовтня 2019 р.

UIFoundation

Цільові продукти: Windows 7 і новіших версій

Вплив: обробка шкідливого текстового файлу може призводити до виконання довільного коду.

Опис: проблему переповнення буфера вирішено завдяки вдосконаленню перевірки меж.

CVE-2019-8745: користувач riusksk із VulWar Corp, що співпрацює з компанією Trend Micro в рамках ініціативи «Zero Day Initiative»

WebKit

Цільові продукти: Windows 7 і новіших версій

Вплив: обробка шкідливого вебвмісту може призводити до виконання універсальних міжсайтових сценаріїв.

Опис: проблему з логікою вирішено шляхом поліпшення керування станами.

CVE-2019-8625: Сергій Глазунов (Sergei Glazunov) із Google Project Zero

CVE-2019-8719: Сергій Глазунов (Sergei Glazunov) із Google Project Zero

CVE-2019-8764: Сергій Глазунов (Sergei Glazunov) із Google Project Zero

Запис оновлено 29 жовтня 2019 р.

WebKit

Цільові продукти: Windows 7 і новіших версій

Вплив: обробка шкідливого вебвмісту може призводити до виконання довільного коду.

Опис: декілька проблем із пошкодженням даних у пам’яті вирішено шляхом поліпшення обробки звернень до пам’яті.

CVE-2019-8707: анонімний дослідник і користувач cc, які співпрацюють із компанією Trend Micro в рамках ініціативи «Zero Day Initiative»

CVE-2019-8710: виявлено за допомогою інструмента OSS-Fuzz

CVE-2019-8726: Джіхуі Лу (Jihui Lu) із Tencent KeenLab

CVE-2019-8728: Джунхо Ян (Junho Jang) із LINE Security Team і Ханул Чоі (Hanul Choi) із ABLY Corporation

CVE-2019-8733: Сергій Глазунов (Sergei Glazunov) із Google Project Zero

CVE-2019-8734: виявлено за допомогою інструмента OSS-Fuzz

CVE-2019-8735: Г. Гешев (G. Geshev), що співпрацює з компанією Trend Micro в рамках ініціативи «Zero Day Initiative»

CVE-2019-8743: користувач zhunki з Codesafe Team (компанія Legendsec, група компаній Qi'anxin)

CVE-2019-8751: Дончжуо Чжао (Dongzhuo Zhao), що співпрацює з ADLab (компанія Venustech)

CVE-2019-8752: Дончжуо Чжао (Dongzhuo Zhao), що співпрацює з ADLab (компанія Venustech)

CVE-2019-8763: Сергій Глазунов (Sergei Glazunov) із Google Project Zero

CVE-2019-8765: Самуель Гросс (Samuel Groß) із Google Project Zero

CVE-2019-8766: виявлено за допомогою інструмента OSS-Fuzz

CVE-2019-8773: виявлено за допомогою інструмента OSS-Fuzz

Запис оновлено 29 жовтня 2019 р.

WebKit

Цільові продукти: Windows 7 і новіших версій

Вплив: обробка шкідливого вебвмісту може призводити до виконання універсальних міжсайтових сценаріїв.

Опис: проблему з перевіркою вирішено завдяки поліпшенню логіки.

CVE-2019-8762: Сергій Глазунов (Sergei Glazunov) із Google Project Zero

Запис додано 18 листопада 2019 р.

Додаткова подяка

Оновлення програмного забезпечення

Дякуємо за допомогу Майклу Гореліку (Michael Gorelik) (@smgoreli) із Morphisec (morphisec.com).

WebKit

Дякуємо за допомогу МінДжонгу Кіму (MinJeong Kim) і ДжаеЧеолу Рю (JaeCheol Ryou) із Information Security Lab (Національний університет Чунгнам, Південна Корея), Йіту Джану ЙІЛМАЗУ (Yiğit Can YILMAZ) (@yilmazcanyigit), а також Чжихуа Яо (Zhihua Yao) із DBAPPSecurity Zion Lab.

Запис оновлено 29 жовтня 2019 р.

Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.

Дата опублікування: