אודות תוכן האבטחה של iTunes 12.7.5 עבור Windows
מסמך זה מתאר את תוכן האבטחה של iTunes 12.7.5 עבור Windows.
אודות עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.
למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple. ניתן להצפין תקשורת עם Apple באמצעות 'מפתח PGP לאבטחת מוצר' של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
iTunes 12.7.5 עבור Windows
CoreGraphics
זמין עבור: Windows 7 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2018-4194 ג'י-חוי לו מ-Tencent KeenLab, יו ג'ואו מ-Ant-financial Light-Year Security Lab
אבטחה
זמין עבור: Windows 7 ואילך
השפעה: משתמש מקומי עלול להצליח לקרוא מזהה מכשיר מתמיד
תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.
CVE-2018-4224: אברהם מסרי (@cheesecakeufo)
אבטחה
זמין עבור: Windows 7 ואילך
השפעה: משתמש מקומי עלול להצליח לשנות את המצב של צרור המפתחות
תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.
CVE-2018-4225: אברהם מסרי (@cheesecakeufo)
אבטחה
זמין עבור: Windows 7 ואילך
השפעה: משתמש מקומי עלול להצליח לצפות במידע רגיש אודות המשתמש
תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.
CVE-2018-4226: אברהם מסרי (@cheesecakeufo)
WebKit
זמין עבור: Windows 7 ואילך
השפעה: ביקור באתר בעל מבנה זדוני עלול להוביל להחלפת קובצי Cookie
תיאור: בטיפול בקובצי Cookie בדפדפן אינטרנט הייתה בעיית הרשאות. בעיה זו טופלה באמצעות הגבלות משופרות.
CVE-2018-4232: חוקר אנונימי, איימריק שייב
WebKit
זמין עבור: Windows 7 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.
CVE-2018-4192: מרקוס גאסדלן, איימי ברנט ופטריק ביירנט מ-Ret2 Systems, Inc, בעבודה עם Zero Day Initiative של Trend Micro
WebKit
זמין עבור: Windows 7 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2018-4214: התגלה על-ידי OSS-Fuzz
WebKit
זמין עבור: Windows 7 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4204: התגלה על-ידי OSS-Fuzz, ריצ'רד ג'ו (fluorescence) בעבודה עם Zero Day Initiative של Trend Micro
WebKit
זמין עבור: Windows 7 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4246: התגלה על-ידי OSS-Fuzz
WebKit
זמין עבור: Windows 7 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2018-4200: איוון פרטריק מ-Google Project Zero
WebKit
זמין עבור: Windows 7 ואילך
השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות
תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצבים משופר.
CVE-2018-4188: יוקו קו (@YoKoAcc) מ-Mitra Integrasi Informatika, PT
WebKit
זמין עבור: Windows 7 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.
CVE-2018-4201: חוקר אנונימי
CVE-2018-4218: נטאשנקה מ-Google Project Zero
CVE-2018-4233: סמואל גרוס (@5aelo) בעבודה עם Zero Day Initiative של Trend Micro
WebKit
זמין עבור: Windows 7 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4199: אלכס פלסקט, גאורגי גשב ופאבי בטרקה מ-MWR Labs בעבודה עם Zero Day Initiative של Trend Micro
WebKit
זמין עבור: Windows 7 ואילך
השפעה: ביקור באתר בעל מבנה זדוני עלול להדליף נתונים רגישים
תיאור: הרשאות נשלחו באופן בלתי צפוי בעת טעינת תמונות מסכה של CSS. הבעיה טופלה באמצעות שימוש בשיטת טעינה התומכת ב-CORS.
CVE-2018-4190: יון קוקטסו (@shhnjk)
WebKit
זמין עבור: Windows 7 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2018-4222: נטאשנקה מ-Google Project Zero
WebKit
זמין עבור: Windows 7 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.
CVE-2018-4145: התגלה על-ידי OSS-Fuzz
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.