關於 Windows 版 iTunes 12.9 的安全性內容

為保障客戶的安全，Apple 在進行調查並提供修補程式或版本之前，不會揭露、討論或確認安全性問題。最新版本列於「Apple 安全性更新」頁面上。

如需安全性的詳細資訊，請參閱 Apple 產品安全性頁面。您可以使用 Apple 產品安全性 PGP 金鑰來加密與 Apple 的通訊。

Apple 安全性文件會盡可能以 CVE-ID 參照安全漏洞。

2018 年 9 月 12 日發行

CFNetwork

適用於：Windows 7 和以上版本

影響：應用程式可能以系統權限執行任意程式碼

說明：改進記憶體處理機制後，已解決記憶體損毀問題。

CVE-2018-4126：Bruno Keith（@bkth_）（與趨勢科技的 Zero Day Initiative 計劃合作）

2018 年 10 月 30 日新增項目

CoreFoundation

適用於：Windows 7 和以上版本

影響：應用程式可能得以取得更高的權限

說明：改進輸入驗證機制後，已解決記憶體損毀問題。

CVE-2018-4414：英國國家網路安全中心（NCSC）

2018 年 10 月 30 日新增項目

CoreFoundation

適用於：Windows 7 和以上版本

影響：惡意應用程式可能得以提高權限

說明：改進輸入驗證機制後，已解決記憶體損毀問題。

CVE-2018-4412：英國國家網路安全中心（NCSC）

2018 年 10 月 30 日新增項目

CoreText

適用於：Windows 7 和以上版本

影響：處理惡意製作的文字檔案，可能導致任意程式碼得以執行

說明：改進記憶體管理機制後，已解決「使用釋放後記憶體出錯」問題。

CVE-2018-4347：Readdle 的 Vasyl Tkachuk

2018 年 10 月 30 日新增項目，2019 年 1 月 10 日更新

WebKit

適用於：Windows 7 和以上版本

影響：非預期的互動導致 ASSERT 失敗

說明：改進驗證機制後，已解決記憶體損毀問題。

CVE-2018-4191：OSS-Fuzz 發現

WebKit

適用於：Windows 7 和以上版本

影響：跨來源 SecurityErrors 包括已存取框架的來源

說明：移除來源資訊後，已解決此問題。

CVE-2018-4311：Erling Alf Ellingsen（@steike）

WebKit

適用於：Windows 7 和以上版本

影響：處理惡意製作的網頁內容可能導致執行任意程式碼

說明：改進狀態管理機制後，已解決記憶體損毀問題。

CVE-2018-4316：crixer、奇虎 360 Vulcan Team 的 Hanming Zhang（@4shitak4）

WebKit

適用於：Windows 7 和以上版本

影響：處理惡意製作的網頁內容可能導致執行任意程式碼

說明：改進記憶體處理機制後，已解決多個記憶體損毀問題。

CVE-2018-4299：與趨勢科技的 Zero Day Initiative 計劃合作的 Samuel Groβ（saelo）

CVE-2018-4323：Google Project Zero 的 Ivan Fratric

CVE-2018-4328：Google Project Zero 的 Ivan Fratric

CVE-2018-4358：與趨勢科技的 Zero Day Initiative 計劃合作的 @phoenhex team（@bkth_、@5aelo、@_niklasb）

CVE-2018-4359：Samuel Groß（@5aelo）

CVE-2018-4360：William Bowling（@wcbowling）

2018 年 10 月 24 日更新項目

WebKit

適用於：Windows 7 和以上版本

影響：惡意網站可能造成意外的跨來源行為

說明：iframe 元素有跨來源問題。改進安全來源的追蹤機制後，已解決此問題。

CVE-2018-4319：Google 的 John Pettitt

WebKit

適用於：Windows 7 和以上版本

影響：惡意網站可能得以在另一個網站的內容中執行工序指令

說明：Safari 出現跨網站工序指令攻擊問題。改進 URL 驗證機制後，已解決此問題。

CVE-2018-4309：匿名研究員（與趨勢科技的 Zero Day Initiative 計劃合作）

WebKit

適用於：Windows 7 和以上版本

影響：處理惡意製作的網頁內容可能導致執行任意程式碼

說明：改進記憶體管理機制後，已解決「使用釋放後記憶體出錯」問題。

CVE-2018-4197：Google Project Zero 的 Ivan Fratric

CVE-2018-4306：Google Project Zero 的 Ivan Fratric

CVE-2018-4312：Google Project Zero 的 Ivan Fratric

CVE-2018-4314：Google Project Zero 的 Ivan Fratric

CVE-2018-4315：Google Project Zero 的 Ivan Fratric

CVE-2018-4317：Google Project Zero 的 Ivan Fratric

CVE-2018-4318：Google Project Zero 的 Ivan Fratric

WebKit

適用於：Windows 7 和以上版本

影響：惡意網站可能會跨來源洩漏影像資料

說明：Safari 出現跨網站工序指令攻擊問題。改進 URL 驗證機制後，已解決此問題。

CVE-2018-4345：Jun Kokatsu（@shhnjk）

2019 年 1 月 10 日新增項目

WebKit

適用於：Windows 7 和以上版本

影響：非預期的互動導致 ASSERT 失敗

說明：改進記憶體處理機制後，已解決記憶體耗用問題。

CVE-2018-4361：OSS-Fuzz 發現

CVE-2018-4474：OSS-Fuzz 發現

2019 年 1 月 22 日更新項目

SQLite

我們要感謝 NESO Security Labs GmbH 的 Andreas Kurtz（@aykay）提供協助。

WebKit

我們要感謝 Cary Hartline、360 Vulcan Team 的 Hanming Zhang、Tencent Keen Security Lab（與趨勢科技的 Zero Day Initiative 計劃合作）以及 CA Technologies 的 Zach Malone 提供協助。