Проблеми системи безпеки, які вирішено в оновленні iTunes 12.10.9 для Windows
У цьому документі описано проблеми системи безпеки, які вирішено в оновленні iTunes 12.10.9 для Windows.
Відомості про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми та не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.
Документи про безпеку Apple класифікують вразливості за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
iTunes 12.10.9 для Windows
CoreText
Цільові продукти: Windows 7 і новіших версій
Вплив: обробка шкідливого текстового файлу може призводити до виконання довільного коду.
Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню керування станами.
CVE-2020-9999: Міккі Джин (Mickey Jin) і Джунджі Лу (Junzhi Lu) з Trend Micro
ImageIO
Цільові продукти: Windows 7 і новіших версій
Вплив: обробка шкідливого зображення може призводити до виконання довільного коду.
Опис: проблему читання за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.
CVE-2020-9961: Сінвей Лінь (Xingwei Lin) з Ant Security Light-Year Lab
ImageIO
Цільові продукти: Windows 7 і новіших версій
Вплив: відкриття шкідливого файлу PDF може призводити до несподіваного завершення роботи програми або виконання довільного коду.
Опис: проблему записування за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
CVE-2020-9876: Міккі Джин (Mickey Jin) з Trend Micro
ImageIO
Цільові продукти: Windows 7 і новіших версій
Вплив: обробка шкідливого файлу TIFF може викликати відмову в обслуговуванні або розкрити вміст пам’яті.
Опис: проблему читання за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.
CVE-2020-36521: Сінвей Лінь (Xingwei Lin) з Ant-Financial Light-Year Security Lab
libxml2
Цільові продукти: Windows 7 і новіших версій
Вплив: обробка шкідливого файлу могла призводити до виконання довільного коду.
Опис: покращене керування пам’яттю усунуло проблему Use-After-Free.
CVE-2020-9981: виявлено за допомогою інструмента OSS-Fuzz
SQLite
Цільові продукти: Windows 7 і новіших версій
Вплив: зловмисник може віддалено спричинити відмову в обслуговуванні.
Опис: цю проблему вирішено завдяки поліпшенню перевірок.
CVE-2020-13434
CVE-2020-13435
SQLite
Цільові продукти: Windows 7 і новіших версій
Вплив: зловмисник може віддалено спричинити виконання довільного коду.
Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню керування станами.
CVE-2020-13630
SQLite
Цільові продукти: Windows 7 і новіших версій
Вплив: шкідливий SQL-запит може призводити до пошкодження даних.
Опис: цю проблему вирішено завдяки поліпшенню перевірок.
CVE-2020-13631
SQLite
Цільові продукти: Windows 7 і новіших версій
Вплив: зловмисник може віддалено ініціювати витік пам’яті.
Опис: проблему з розкриттям інформації усунено завдяки поліпшенню керування станами.
CVE-2020-9849
WebKit
Цільові продукти: Windows 7 і новіших версій
Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду.
Опис: покращене керування пам’яттю усунуло проблему Use-After-Free.
CVE-2020-9947: користувач cc, що співпрацює з компанією Trend Micro в рамках ініціативи «Zero Day Initiative»
CVE-2020-9951: Марчін «Айсволл» Нога (Marcin "Icewall" Noga) із Cisco Talos
WebKit
Цільові продукти: Windows 7 і новіших версій
Вплив: обробка шкідливого вебконтенту може призводити до виконання коду.
Опис: проблему записування за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
CVE-2020-9983: користувач zhunki
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.