关于 Windows 版 iTunes 12.9.1 的安全性内容
本文介绍了 Windows 版 iTunes 12.9.1 的安全性内容。
关于 Apple 安全性更新
为保护我们的客户,在没有进行调查并推出修补程序或发行版本之前,Apple 不会透露、讨论或确认安全性问题。“Apple 安全性更新”页面上列出了近期发布的版本。
如果需要了解有关安全性的更多信息,请参阅“Apple 产品安全性”页面。您可以使用 Apple 产品安全性 PGP 密钥对与 Apple 的通信进行加密。
如果可能,Apple 安全性文稿会引用 CVE-ID 中列出的安全漏洞。
Windows 版 iTunes 12.9.1
CoreCrypto
适用于:Windows 7 及更高版本
影响:攻击者或许能够利用 Miller-Rabin 素性测试中的漏洞来错误识别素数
描述:素数的确定方法存在问题。已通过将伪随机数用于素性测试解决这个问题。
CVE-2018-4398: Martin Albrecht, Jake Massimo and Kenny Paterson of Royal Holloway, University of London, and Juraj Somorovsky of Ruhr University, Bochum
ICU
适用于:Windows 7 及更高版本
影响:处理恶意制作的字符串可能会导致堆损坏
描述:已通过改进输入验证解决内存损坏问题。
CVE-2018-4394: Erik Verbruggen of The Qt Company
Safari 阅读器
适用于:Windows 7 及更高版本
影响:在恶意制作的网页上启用 Safari 阅读器功能可能会导致通用跨站点脚本编写
描述:已通过改进验证解决逻辑问题。
CVE-2018-4374: Ryan Pickren (ryanpickren.com)
Safari 阅读器
适用于:Windows 7 及更高版本
影响:在恶意制作的网页上启用 Safari 阅读器功能可能会导致通用跨站点脚本编写
描述:Safari 浏览器中存在跨站点脚本处理问题。已通过改进 URL 验证解决这个问题。
CVE-2018-4377: Ryan Pickren (ryanpickren.com)
WebKit
适用于:Windows 7 及更高版本
影响:处理恶意制作的网页内容可能会导致任意代码执行
描述:已通过改进内存处理解决多个内存损坏问题。
CVE-2018-4372: HyungSeok Han, DongHyeon Oh, and Sang Kil Cha of KAIST Softsec Lab, Korea
CVE-2018-4373: ngg, alippai, DirtYiCE, KT of Tresorit working with Trend Micro’s Zero Day Initiative
CVE-2018-4375: Yu Haiwan and Wu Hongjun From Nanyang Technological University working with Trend Micro's Zero Day Initiative
CVE-2018-4376: 010 working with Trend Micro's Zero Day Initiative
CVE-2018-4382: lokihardt of Google Project Zero
CVE-2018-4386: lokihardt of Google Project Zero
CVE-2018-4392: zhunki of 360 ESG Codesafe Team
CVE-2018-4416: lokihardt of Google Project Zero
WebKit
适用于:Windows 7 及更高版本
影响:恶意网站或许能够导致服务遭拒
描述:已通过改进输入验证解决资源耗尽问题。
CVE-2018-4409: Sabri Haddouche (@pwnsdx) of Wire Swiss GmbH
WebKit
适用于:Windows 7 及更高版本
影响:处理恶意制作的网页内容可能会导致代码执行
描述:已通过改进验证解决内存损坏问题。
CVE-2018-4378: HyungSeok Han, DongHyeon Oh, and Sang Kil Cha of KAIST Softsec Lab, Korea, zhunki of 360 ESG Codesafe Team
其他表彰
Safari 阅读器
由衷感谢 Ryan Pickren (ryanpickren.com) 为我们提供的协助。
有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。