关于 iTunes 12.3 的安全性内容

为保护我们的客户，在未进行详尽调查并推出必要的修补程序或发行版之前，Apple 不会公开、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息，请参阅“Apple 产品安全性”网站。

有关 Apple 产品安全性 PGP 密钥的信息，请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

如果可能，请使用 CVE ID 来查阅漏洞的详细信息。

要了解有关其他安全性更新的信息，请参阅“Apple 安全性更新”。

• iTunes

  适用于：Windows 7 及更高版本

  影响：使用 CoreText 的应用软件可能容易发生应用软件意外终止或任意代码执行

  说明：处理文本文件时存在多个内存损坏问题。这些问题已通过改进内存处理得到解决。

  CVE-ID

  CVE-2015-1157：Apple

  CVE-2015-3686：John Villamil (@day6reak)，Yahoo Pentest Team

  CVE-2015-3687：John Villamil (@day6reak)，Yahoo Pentest Team

  CVE-2015-3688：John Villamil (@day6reak)，Yahoo Pentest Team

  CVE-2015-5755：John Villamil (@day6reak)，Yahoo Pentest Team

  CVE-2015-5761：John Villamil (@day6reak)、Yahoo Pentest Team

  CVE-2015-5874：John Villamil (@day6reak)，Yahoo Pentest Team

• iTunes

  适用于：Windows 7 及更高版本

  影响：使用 ICU 的应用软件可能容易发生应用软件意外终止或任意代码执行

  说明：处理 Unicode 字符串时存在多个内存损坏问题。这些问题已通过将 ICU 更新至版本 55 得到解决。

  CVE-ID

  CVE-2014-8146

  CVE-2015-1205

• iTunes

  适用于：Windows 7 及更高版本

  影响：打开媒体文件可能会导致任意代码执行

  说明：Microsoft 基础类在处理库加载时存在安全问题。此问题已通过更新至最新版本的 Microsoft Visual C++ Redistributable Package 得到解决。

  CVE-ID

  CVE-2010-3190：Stefan Kanthak

• iTunes

  适用于：Windows 7 及更高版本

  影响：通过 iTunes 浏览 iTunes Store 时，中间人攻击可能会导致应用软件意外终止或任意代码执行

  说明：WebKit 中存在多个内存损坏问题。这些问题已通过改进内存处理得到解决。

  CVE-ID

  CVE-2015-1152：Apple

  CVE-2015-1153：Apple

  CVE-2015-3730：Apple

  CVE-2015-3731：Apple

  CVE-2015-3733：Apple

  CVE-2015-3734：Apple

  CVE-2015-3735：Apple

  CVE-2015-3736：Apple

  CVE-2015-3737：Apple

  CVE-2015-3738：Apple

  CVE-2015-3739：Apple

  CVE-2015-3740：Apple

  CVE-2015-3741：Apple

  CVE-2015-3742：Apple

  CVE-2015-3743：Apple

  CVE-2015-3744：Apple

  CVE-2015-3745：Apple

  CVE-2015-3746：Apple

  CVE-2015-3747：Apple

  CVE-2015-3748：Apple

  CVE-2015-3749：Apple

  CVE-2015-5789：Apple

  CVE-2015-5790：Apple

  CVE-2015-5791：Apple

  CVE-2015-5792：Apple

  CVE-2015-5793：Apple

  CVE-2015-5794：Apple

  CVE-2015-5795：Apple

  CVE-2015-5796：Apple

  CVE-2015-5797：Apple

  CVE-2015-5798：Apple

  CVE-2015-5799：Apple

  CVE-2015-5800：Apple

  CVE-2015-5801：Apple

  CVE-2015-5802：Apple

  CVE-2015-5803：Apple

  CVE-2015-5804：Apple

  CVE-2015-5805

  CVE-2015-5806：Apple

  CVE-2015-5807：Apple

  CVE-2015-5808：Joe Vennix

  CVE-2015-5809：Apple

  CVE-2015-5810：Apple

  CVE-2015-5811：Apple

  CVE-2015-5812：Apple

  CVE-2015-5813：Apple

  CVE-2015-5814：Apple

  CVE-2015-5815：Apple

  CVE-2015-5816：Apple

  CVE-2015-5817：Apple

  CVE-2015-5818：Apple

  CVE-2015-5819：Apple

  CVE-2015-5821：Apple

  CVE-2015-5822：Google 的 Mark S. Miller

  CVE-2015-5823：Apple

• 软件更新

  影响：拥有特权网络地位的攻击者或许能够获得加密的 SMB 凭证

  说明：处理某些网络连接时存在重定向问题。此问题已通过改进资源验证得到解决。

  CVE-ID

  CVE-2015-5920：Cylance