Сведения о проблемах системы безопасности, устраняемых обновлением iTunes 12.10.7 для Windows
В этом документе описываются проблемы системы безопасности, устраняемые обновлением iTunes 12.10.7 для Windows.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.
iTunes 12.10.7 для Windows
Дата выпуска: 20 мая 2020 г.
ImageIO
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2020-9789: Венчао Ли (Wenchao Li) из VARAS@IIE
CVE-2020-9790: Синвэй Лин (Xingwei Lin) из компании Ant-financial Light-Year Security Lab
ImageIO
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2020-3878: Самуэль Гросс (Samuel Groß) из подразделения Google Project Zero
SQLite
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Вредоносное приложение может вызывать отказ в обслуживании или потенциально раскрыть содержимое памяти.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению универсальных межсайтовых сценариев.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2020-9805: анонимный исследователь
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2020-9802: Самуэль Гросс (Samuel Groß) из подразделения Google Project Zero
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема смешения типов устранена путем улучшенной обработки обращений к памяти.
CVE-2020-9800: Брендан Дрэйпер (Brendan Draper, @6r3nd4n), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенного управления состояниями.
CVE-2020-9806: Вэнь Сюй (Wen Xu) из подразделения SSLab Технологического института Джорджии
CVE-2020-9807: Вэнь Сюй (Wen Xu) из подразделения SSLab Технологического института Джорджии
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Удаленный злоумышленник может вызвать выполнение произвольного кода.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2020-9850: @jinmo123, @setuid0x0_ и @insu_yun_en из @SSLab_Gatech, сотрудничающие с компанией Trend Micro в рамках программы Zero Day Initiative
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может приводить к атаке с использованием межсайтовых сценариев.
Описание. Проблема проверки ввода устранена путем улучшенной проверки ввода.
CVE-2020-9843: Райан Пикрен (Ryan Pickren, ryanpickren.com)
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки.
CVE-2020-9803: Вэнь Сюй (Wen Xu) из подразделения SSLab Технологического института Джорджии
Дополнительные благодарности
ImageIO
Благодарим за помощь Лей Сун (Lei Sun).
WebKit
Благодарим за помощь Эйдана Данлапа (Aidan Dunlap) из Техасского университета в Остине.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.
Сведения о проблемах системы безопасности, устраняемых обновлением iTunes 12.10.1 для Windows
В этом документе описываются проблемы системы безопасности, устраняемые обновлением iTunes 12.10.1 для Windows.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple.
iTunes 12.10.1 для Windows
Дата выпуска: 7 октября 2019 г.
CoreCrypto
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка большого объема входящих данных может приводить к отказу в обслуживании.
Описание. Проблема отказа в обслуживании устранена путем улучшенной проверки ввода.
CVE-2019-8741: Ники Моуха (Nicky Mouha) из NIST
Запись добавлена 29 октября 2019 г.
CoreMedia
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенного управления состояниями.
CVE-2019-8825: обнаружено с помощью инструмента GWP-ASan в Google Chrome
Запись добавлена 29 октября 2019 г.
Платформа
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Удаленный злоумышленник может вызвать неожиданное завершение работы программы или выполнить произвольный код.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2019-8746: Натали Сильванович (Natalie Silvanovich) и Самуэль Гросс (Samuel Groß) из подразделения Google Project Zero
Запись добавлена 29 октября 2019 г.
libxml2
Доступно для: Windows 7 и более поздних версий
Воздействие. Обнаружен ряд проблем в пакете libxml2.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной проверки ввода.
CVE-2019-8749: обнаружено с помощью инструмента OSS-Fuzz.
CVE-2019-8756: обнаружено с помощью инструмента OSS-Fuzz.
Запись добавлена 29 октября 2019 г.
Библиотека libxslt
Доступно для: Windows 7 и более поздних версий
Воздействие. Обнаружен ряд проблем в библиотеке libxslt.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной проверки ввода.
CVE-2019-8750: обнаружено с помощью инструмента OSS-Fuzz.
Запись добавлена 29 октября 2019 г.
UIFoundation
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного текстового файла могла привести к выполнению произвольного кода.
Описание. Проблема переполнения буфера решена посредством улучшенной проверки границ.
CVE-2019-8745: пользователь riusksk из VulWar Corp, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению универсальных межсайтовых сценариев.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2019-8625: Сергей Глазунов (Sergei Glazunov) из подразделения Google Project Zero
CVE-2019-8719: Сергей Глазунов (Sergei Glazunov) из подразделения Google Project Zero
CVE-2019-8764: Сергей Глазунов (Sergei Glazunov) из подразделения Google Project Zero
Запись обновлена 29 октября 2019 г.
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.
CVE-2019-8707: анонимный исследователь и пользователь cc, сотрудничающие с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2019-8710: обнаружено с помощью инструмента OSS-Fuzz.
CVE-2019-8726: Цзихуэй Лу (Jihui Lu) из отдела Tencent в KeenLab.
CVE-2019-8728: Чунхо Чжанг (Junho Jang) из LINE Security Team и Ханул Чой (Hanul Choi) из ABLY Corporation
CVE-2019-8733: Сергей Глазунов (Sergei Glazunov) из подразделения Google Project Zero
CVE-2019-8734: обнаружено с помощью инструмента OSS-Fuzz.
CVE-2019-8735: Дж. Джешев (G. Geshev), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2019-8743: пользователь zhunki из подразделения Codesafe компании Legendsec группы Qi’anxin
CVE-2019-8751: Донгчжуо Чжао (Dongzhuo Zhao), сотрудничающий с отделом ADLab в Venustech
CVE-2019-8752: Донгчжуо Чжао (Dongzhuo Zhao), сотрудничающий с отделом ADLab в Venustech
CVE-2019-8763: Сергей Глазунов (Sergei Glazunov) из подразделения Google Project Zero
CVE-2019-8765: Самуэль Гросс (Samuel Groß) из подразделения Google Project Zero
CVE-2019-8766: обнаружено с помощью инструмента OSS-Fuzz.
CVE-2019-8773: обнаружено с помощью инструмента OSS-Fuzz.
Запись обновлена 29 октября 2019 г.
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению универсальных межсайтовых сценариев.
Описание. Проблема с проверкой устранена путем улучшения логики.
CVE-2019-8762: Сергей Глазунов (Sergei Glazunov) из подразделения Google Project Zero
Запись добавлена 18 ноября 2019 г.
Дополнительные благодарности
Обновление программного обеспечения
Выражаем благодарность за помощь Майклу Горелику (Michael Gorelik, @smgoreli) из Morphisec (morphisec.com).
WebKit
Выражаем благодарность за помощь Мин Джон Киму (Min Jeong Kim) и Джэ Чхол Рёу (Jae Cheol Ryou) из отдела информационной безопасности Национального университета в Тэджоне (Южная Корея), Йигиту Кану Йилмазу (Yiğit Can Yilmaz, @yilmazcanyigit) и Чжихуа Яо (Zhihua Yao) из DBAPPSecurity Zion Lab.
Запись обновлена 29 октября 2019 г.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.
Проблемы системы безопасности, устраняемые обновлением iTunes 12.8 для ОС Windows
В этой статье описываются проблемы системы безопасности, устраненные в программе iTunes 12.8 для ОС Windows.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.
В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.
iTunes 12.8 для ОС Windows
Дата выпуска: 9 июля 2018 г.
CFNetwork
Целевые продукты: Windows 7 и более поздней версии
Воздействие. В браузере Safari могут неожиданно сохраняться файлы cookie.
Описание. Проблема с управлением файлами cookie устранена путем улучшенной проверки.
CVE-2018-4293: анонимный исследователь
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого могла привести к неожиданному сбою Safari.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2018-4270: обнаружено с помощью инструмента OSS-Fuzz
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Вредоносный веб-сайт может приводить к утечке аудиоданных в другой домен.
Описание. Звук, извлеченный с помощью аудиоэлементов, может попадать в другой домен. Проблема устранена путем улучшенного отслеживания уязвимых мест в аудиоданных.
CVE-2018-4278: Джун Кокатсу (Jun Kokatsu, @shhnjk)
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема смешения типов устранена путем улучшенной обработки памяти.
CVE-2018-4284: обнаружено с помощью инструмента OSS-Fuzz
Запись обновлена 1 августа 2019 г.
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Вредоносный веб-сайт может вызвать отказ в обслуживании.
Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.
CVE-2018-4266: обнаружено с помощью инструмента OSS-Fuzz
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.
CVE-2018-4261: пользователь Omair, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2018-4262: Матеуш Кшивицкий (Mateusz Krzywicki), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2018-4263: пользователь Arayz, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2018-4264: обнаружено с помощью инструмента OSS-Fuzz, а также благодаря Ю Чжоу (Yu Zhou) и Джандонг Се (Jundong Xie) из отдела безопасности Ant-financial Light-Year
CVE-2018-4265: пользователь cc, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2018-4267: пользователь Arayz из группы Pangu, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2018-4272: обнаружено с помощью инструмента OSS-Fuzz
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого могла привести к неожиданному сбою Safari.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной проверки ввода.
CVE-2018-4271: обнаружено с помощью инструмента OSS-Fuzz
CVE-2018-4273: обнаружено с помощью инструмента OSS-Fuzz
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению кода.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.
CVE-2018-4145: обнаружено с помощью инструмента OSS-Fuzz
Запись добавлена 18 октября 2018 г.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.