Проблеми системи безпеки, які вирішено в оновленні iTunes 12.10.9 для Windows

У цьому документі описано проблеми системи безпеки, які вирішено в оновленні iTunes 12.10.9 для Windows.

Відомості про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми та не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.

Документи про безпеку Apple класифікують вразливості за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

iTunes 12.10.9 для Windows

CoreText

Цільові продукти: Windows 7 і новіших версій

Вплив: обробка шкідливого текстового файлу може призводити до виконання довільного коду.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню керування станами.

CVE-2020-9999: Міккі Джин (Mickey Jin) і Джунджі Лу (Junzhi Lu) з Trend Micro

ImageIO

Цільові продукти: Windows 7 і новіших версій

Вплив: обробка шкідливого зображення може призводити до виконання довільного коду.

Опис: проблему читання за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.

CVE-2020-9961: Сінвей Лінь (Xingwei Lin) з Ant Security Light-Year Lab

ImageIO

Цільові продукти: Windows 7 і новіших версій

Вплив: відкриття шкідливого файлу PDF може призводити до несподіваного завершення роботи програми або виконання довільного коду.

Опис: проблему записування за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2020-9876: Міккі Джин (Mickey Jin) з Trend Micro

ImageIO

Цільові продукти: Windows 7 і новіших версій

Вплив: обробка шкідливого файлу TIFF може викликати відмову в обслуговуванні або розкрити вміст пам’яті.

Опис: проблему читання за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.

CVE-2020-36521: Сінвей Лінь (Xingwei Lin) з Ant-Financial Light-Year Security Lab

libxml2

Цільові продукти: Windows 7 і новіших версій

Вплив: обробка шкідливого файлу могла призводити до виконання довільного коду.

Опис: покращене керування пам’яттю усунуло проблему Use-After-Free.

CVE-2020-9981: виявлено за допомогою інструмента OSS-Fuzz

SQLite

Цільові продукти: Windows 7 і новіших версій

Вплив: зловмисник може віддалено спричинити відмову в обслуговуванні.

Опис: цю проблему вирішено завдяки поліпшенню перевірок.

CVE-2020-13434

CVE-2020-13435

SQLite

Цільові продукти: Windows 7 і новіших версій

Вплив: зловмисник може віддалено спричинити виконання довільного коду.

Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню керування станами.

CVE-2020-13630

SQLite

Цільові продукти: Windows 7 і новіших версій

Вплив: шкідливий SQL-запит може призводити до пошкодження даних.

Опис: цю проблему вирішено завдяки поліпшенню перевірок.

CVE-2020-13631

SQLite

Цільові продукти: Windows 7 і новіших версій

Вплив: зловмисник може віддалено ініціювати витік пам’яті.

Опис: проблему з розкриттям інформації усунено завдяки поліпшенню керування станами.

CVE-2020-9849

WebKit

Цільові продукти: Windows 7 і новіших версій

Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду.

Опис: покращене керування пам’яттю усунуло проблему Use-After-Free.

CVE-2020-9947: користувач cc, що співпрацює з компанією Trend Micro в рамках ініціативи «Zero Day Initiative»

CVE-2020-9951: Марчін «Айсволл» Нога (Marcin "Icewall" Noga) із Cisco Talos

WebKit

Цільові продукти: Windows 7 і новіших версій

Вплив: обробка шкідливого вебконтенту може призводити до виконання коду.

Опис: проблему записування за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2020-9983: користувач zhunki