Удосконалення безпеки в iTunes 12.10.2 для Windows

У цьому документі описано вдосконалення безпеки в iTunes 12.10.2 для Windows.

Відомості про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми та не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.

Документи про безпеку Apple класифікують вразливості за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, див. сторінку безпеки продуктів Apple.

iTunes 12.10.2 для Windows

Дата випуску: 30 жовтня 2019 року

Графічний драйвер

Цільові продукти: Windows 7 і новіших версій

Вплив: програма може виконувати довільний код із системними привілеями.

Опис: проблему з пошкодженням даних у пам’яті вирішено шляхом поліпшення обробки звернень до пам’яті.

CVE-2019-8784: Василь Васильєв (Vasiliy Vasilyev) та Ілля Фіногеєв (Ilya Finogeev) із компанії Webinar, LLC.

iTunes

Цільові продукти: Windows 7 і новіших версій

Вплив: запуск інсталятора iTunes у ненадійному каталозі може призводити до виконання довільного коду.

Опис: під час інсталяції iTunes виникла проблема із завантаженням динамічної бібліотеки. Цю проблему вирішено завдяки поліпшенню пошуку шляхів.

CVE-2019-8801: Хоу Цзіньї (Hou JingYi, @hjy79425575) з команди CERT компанії Qihoo 360.

WebKit

Цільові продукти: Windows 7 і новіших версій

Вплив: обробка шкідливого вебвмісту може призводити до виконання універсальних міжсайтових сценаріїв.

Опис: проблему з логікою вирішено шляхом поліпшення керування станами.

CVE-2019-8813: анонімний дослідник.

WebKit

Цільові продукти: Windows 7 і новіших версій

Вплив: обробка шкідливого вебвмісту може призводити до виконання довільного коду.

Опис: декілька проблем із пошкодженням даних у пам’яті вирішено шляхом поліпшення обробки звернень до пам’яті.

CVE-2019-8782: Чолун Лі (Cheolung Lee) з відділу безпеки компанії LINE+.

CVE-2019-8783: Чолун Лі (Cheolung Lee) з відділу безпеки Graylab компанії LINE+.

CVE-2019-8808: виявлено за допомогою інструмента OSS-Fuzz.

CVE-2019-8811: Сойон Парк (Soyeon Park) із підрозділу SSLab Технологічного інституту Джорджії.

CVE-2019-8812: Цзюньдун Се (JunDong Xie) з компанії Ant-financial Light-Year Security Lab.

CVE-2019-8814: Чолун Лі (Cheolung Lee) з відділу безпеки компанії LINE+.

CVE-2019-8816: Сойон Парк (Soyeon Park) із підрозділу SSLab Технологічного інституту Джорджії.

CVE-2019-8819: Чолун Лі (Cheolung Lee) з відділу безпеки компанії LINE+.

CVE-2019-8820: Самуель Гросс (Samuel Groß) із підрозділу Google Project Zero.

CVE-2019-8821: Сергій Глазунов (Sergei Glazunov) із підрозділу Google Project Zero.

CVE-2019-8822: Сергій Глазунов (Sergei Glazunov) із підрозділу Google Project Zero.

CVE-2019-8823: Сергій Глазунов (Sergei Glazunov) із підрозділу Google Project Zero.

Запис оновлено 18 листопада 2019 року

WebKit

Цільові продукти: Windows 7 і новіших версій

Вплив: у разі відвідування шкідливого вебсайту може розкриватися історія перегляду вебсайтів.

Опис: заголовок HTTP-запиту Referer міг використовуватися для доступу до вашої історії перегляду вебсайтів. Проблему вирішено шляхом обмеження заголовка Referer для сторонніх доменів значенням домену верхнього рівня.

CVE-2019-8827: Артур Янк (Artur Janc), Кшиштоф Котович (Krzysztof Kotowicz), Лукас Вайксельбаум (Lukas Weichselbaum) і Роберто Клапіс (Roberto Clapis) із Google Security Team.

Запис додано 3 лютого 2020 року

Модель процесів WebKit

Цільові продукти: Windows 7 і новіших версій

Вплив: обробка шкідливого вебвмісту може призводити до виконання довільного коду.

Опис: декілька проблем із пошкодженням даних у пам’яті вирішено шляхом поліпшення обробки звернень до пам’яті.

CVE-2019-8815: фахівці Apple.

Додаткова подяка

CFNetwork

Дякуємо за допомогу Лілі Чен (Lily Chen) із Google.

WebKit

Дякуємо за допомогу користувачу Dlive із відділу Xuanwu Lab компанії Tencent і Цзиї Чжану (Zhiyi Zhang) із підрозділу Codesafe компанії Legendsec групи Qi'anxin.

Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.

Дата опублікування: