The version of Apple iTunes running on the remote host is prior to 12.3.1. It is, therefore, affected by multiple vulnerabilities due to memory corruption issues in the WebKit and CoreText components. An attacker can exploit these to cause a denial of service or execute arbitrary code.

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

This update for webkit2gtk3 fixes the following issues :

  - Update to version 2.10.7 :

  + Fix the build with GTK+ < 3.16.

  - Changes from version 2.10.6 :

  + Fix a deadlock in the Web Process when JavaScript     garbage collector was running for a web worker thread     that made google maps to hang.

  + Fix media controls displaying without controls     attribute.

  + Fix a Web Process crash when quickly attempting many DnD     operations.

  - Changes from version 2.10.5 :

  + Disable DNS prefetch when a proxy is configured.

  + Reduce the maximum simultaneous network connections to     match other browsers.

  + Make WebKitWebView always propagate motion-notify-event     signal.

  + Add a way to force accelerating compositing mode at     runtime using an environment variable.

  + Fix input elements and scrollbars rendering with GTK+     3.19.

  + Fix rendering of lines when using solid colors.

  + Fix UI process crashes related to not having a main     resource response when the load is committed for pages     restored from the history cache.

  + Fix a WebProcess crash when loading large contents with     custom URI schemes API.

  + Fix a crash in the UI process when the WebView is     destroyed while the screensaver DBus proxy is being     created.

  + Fix WebProcess crashes due to BadDrawable X errors in     accelerated compositing mode.

  + Fix crashes on PPC64 due to mprotect() on address not     aligned to the page size.

  + Fix std::bad_function_call exception raised in     dispatchDecidePolicyForNavigationAction.

  + Fix downloads of data URLs.

  + Fix runtime critical warnings when closing a page     containing windowed plugins.

  + Fix several crashes and rendering issues.

  + Translation updates: French, German, Italian, Turkish.

  + Security fixes: CVE-2015-7096, CVE-2015-7098.

  - Update to version 2.10.4, notable changes :

  + New HTTP disk cache for the Network Process.

  + New Web Inspector UI.

  + Automatic ScreenServer inhibition when playing     fullscreen videos.

  + Initial Editor API.

  + Performance improvements.

  - This update addresses the following security issues:
    CVE-2015-1122, CVE-2015-1152, CVE-2015-1155,     CVE-2015-3660, CVE-2015-3730, CVE-2015-3738,     CVE-2015-3740, CVE-2015-3742, CVE-2015-3744,     CVE-2015-3746, CVE-2015-3750, CVE-2015-3751,     CVE-2015-3754, CVE-2015-3755, CVE-2015-5804,     CVE-2015-5805, CVE-2015-5807, CVE-2015-5810,     CVE-2015-5813, CVE-2015-5814, CVE-2015-5815,     CVE-2015-5817, CVE-2015-5818, CVE-2015-5825,     CVE-2015-5827, CVE-2015-5828, CVE-2015-5929,     CVE-2015-5930, CVE-2015-5931, CVE-2015-7002,     CVE-2015-7013, CVE-2015-7014, CVE-2015-7048,     CVE-2015-7095, CVE-2015-7097, CVE-2015-7099,     CVE-2015-7100, CVE-2015-7102, CVE-2015-7103,     CVE-2015-7104

  - Add BuildRequires: hyphen-devel to pick up hyphenation     support. Note this is broken upstream.

  - Build with -DENABLE_DATABASE_PROCESS=OFF and

    -DENABLE_INDEXED_DATABASE=OFF to avoid an issue with GCC     4.8.

webkit2gtk3 のこの更新により、以下の問題が修正されます。

- バージョン 2.10.7 に更新してください：

+ 3.16 より前の GTK+ でのビルドを修正します。

- バージョン 2.10.6 からの変更：

+ Google マップをハングアップさせる Web Worker スレッドに対して、JavaScript ガベージコレクターが実行される際の Web Process におけるデッドロックを修正します。

+ コントロール属性のないメディアコントロール表示を修正します。

+ 多くの DnD 操作を迅速に試行する際の Web Process クラッシュを修正します。

- バージョン 2.10.5 からの変更：

+ プロキシの構成時に DNS プリフェッチを無効にします。

+ その他のブラウザに対応するために、ネットワークの最大同時接続数を削減します。

+ WebKitWebView が常に motion-notify-event シグナルを伝播するようにします。

+ 環境変数を使用する Runtime で、加速コンポジットモードを強制する方法を追加します。

+ GTK+ 3.19 でレンダリングする入力要素とスクロールバーを修正します。

+ 単色を使用する際のラインのレンダリングを修正します。

+ 履歴キャッシュから復元されたページに対してロードが実行される際に、メインリソースの応答がないことに関連する UI プロセスのクラッシュを修正します。

+ カスタム URI スキーム API による大きなコンテンツのロードの際の WebProcess クラッシュを修正します。

+ スクリーンセーバーの DBus プロキシの作成中に WebView が破棄される際の UI プロセスのクラッシュを修正します。

+ 加速コンポジットモードの BadDrawable X エラーによる WebProcess クラッシュを修正します。

+ アドレスの mprotect() がページサイズに合わせて調整されないことによる PPC64 上のクラッシュを修正します。

+ dispatchDecidePolicyForNavigationAction で発生した std::bad_function_call 例外を修正します。

+ データ URL のダウンロードを修正します。

+ ウィンドウ付きプラグインを含むページを閉じる際の Runtime の重要な警告を修正します。

+ いくつかのクラッシュおよびレンダリングの問題を修正します。

+ 翻訳の更新：フランス語、ドイツ語、イタリア語、トルコ語。

+ セキュリティの修正：CVE-2015-7096、CVE-2015-7098

- バージョン 2.10.4 へ更新、主な変更：

+ ネットワークプロセスの新しい HTTP ディスクキャッシュ。

+ 新しい Web Inspector UI。

+ フル画面動画を再生している際の Automatic ScreenServer の抑制。

+ Initial Editor API。

+ パフォーマンス向上。

- この更新は、次のセキュリティの問題に対処します：
CVE-2015-1122、CVE-2015-1152、CVE-2015-1155、CVE-2015-3660、CVE-2015-3730、CVE-2015-3738、CVE-2015-3740、CVE-2015-3742、CVE-2015-3744、CVE-2015-3746、CVE-2015-3750、CVE-2015-3751、CVE-2015-3754、CVE-2015-3755、CVE-2015-5804、CVE-2015-5805、CVE-2015-5807、CVE-2015-5810、CVE-2015-5813、CVE-2015-5814、CVE-2015-5815、CVE-2015-5817、CVE-2015-5818、CVE-2015-5825、CVE-2015-5827、CVE-2015-5828、CVE-2015-5929、CVE-2015-5930、CVE-2015-5931、CVE-2015-7002、CVE-2015-7013、CVE-2015-7014、CVE-2015-7048、CVE-2015-7095、CVE-2015-7097、CVE-2015-7099、CVE-2015-7100、CVE-2015-7102、CVE-2015-7103、CVE-2015-7104

- BuildRequires の追加：ハイフネーションサポートをピックアップするための hyphen-devel。注意：これは壊れた Upstream です。

- -DENABLE_DATABASE_PROCESS=OFF と

-DENABLE_INDEXED_DATABASE=OFF でビルドし、GCC 4.8 で問題を回避します。

リモートホストで実行されている Apple iTunes は 12.3.1 より前のバージョンです。そのため、WebKit と CoreText のコンポーネントのメモリ破損の問題による複数の脆弱性による影響を受けます。攻撃者がこれらを悪用して、サービス拒否を引き起こしたり、任意のコードを実行したりする可能性があります。

Nessus はこれらの問題に対してテストされていませんが、その代わりにアプリケーションの自己報告されたバージョン番号のみに依存していることに、注意してください。

此 webkit2gtk3 更新可修正下列問題：

- 2.10.7 版本的更新：

+ 修正含 GTK+ < 3.16 的版本。

自 2.10.6 版的變更：

+ 修正 JavaScript 記憶體回收行程在 Web 背景工作執行緒中執行而導致 google 地圖懸置時，Web 處理程序中的鎖死問題。

+ 修正未顯示控制項屬性的媒體控制項。

+ 修正快速嘗試多個 DnD 作業時發生的 Web 處理程序損毀。

自 2.10.5 版的變更：

+ 已設定代理程式時，停用 DNS 預先擷取

+ 減少符合其他瀏覽器的同時網路連線數上限。

+ 使 WebKitWebView 一律傳播 motion-notify-event 訊號。

+ 新增一個可使用環境變數在運行時間強制加速複合模式的方式。

+ 修正使用 GTK+ 3.19 轉譯的輸入元素和捲軸。

+ 修正使用純色轉譯線條的問題。

+ 修正在將負載提交至從歷程記錄快取還原的頁面時，與未得到主要資源回應有關的使用者介面處理程序損毀問題。

+ 修正使用自訂 URI 配置 API 載入大量內容時的 WebProcess 損毀問題。

+ 修正螢幕保護程式 DBus 代理伺服器建立時 WebView 遭到損毀，而導致的使用者介面處理程序損毀問題。

+ 修正加速複合模式中的 BadDrawable X 錯誤所導致的 WebProcess 損毀問題。

+ 修正位址未與頁面大小對齊而導致的 PPC64 損毀問題。

+ 修正 dispatchDecidePolicyForNavigationAction 提出的 std::bad_function_call exception 例外狀況。

+ 修正資料 URL 的下載。

+ 修正關閉含有視窗型外掛程式的頁面時出現的運行時間重要警告。

+ 修正數個當機與呈現問題。

+ 翻譯更新：法文、德文、義大利文、土耳其文。

+ 安全性修正：CVE-2015-7096、CVE-2015-7098。

- 2.10.4 版的更新，值得注意的變更：

+ 網路處理程序的新 HTTP 磁碟快取

+ 新 Web Inspector UI。

+ 播放全螢幕視訊時抑制執行自動化畫面伺服器。

+ 初始編輯器 API。

+ 效能改善。

- 此更新解決了下列安全性問題：
 CVE-2015-1122、CVE-2015-1152、CVE-2015-1155、CVE-2015-3660、CVE-2015-3730、CVE-2015-3738、CVE-2015-3740、CVE-2015-3742、CVE-2015-3744、CVE-2015-3746、CVE-2015-3750、CVE-2015-3751、CVE-2015-3754、CVE-2015-3755、CVE-2015-5804、CVE-2015-5805、CVE-2015-5807、CVE-2015-5810、CVE-2015-5813、CVE-2015-5814、CVE-2015-5815、CVE-2015-5817、CVE-2015-5818、CVE-2015-5825、CVE-2015-5827、CVE-2015-5828、CVE-2015-5929、CVE-2015-5930、CVE-2015-5931、CVE-2015-7002、CVE-2015-7013、CVE-2015-7014、CVE-2015-7048、CVE-2015-7095、CVE-2015-7097、CVE-2015-7099、CVE-2015-7100、CVE-2015-7102、CVE-2015-7103、CVE-2015-7104

- 新增 BuildRequires：擷取斷字支援的 hyphen-devel請注意，這是損毀的上游。

- 使用 -DENABLE_DATABASE_PROCESS=OFF 和

-DENABLE_INDEXED_DATABASE=OFF 構建以避免 GCC 4.8 的問題。

此 webkit2gtk3 更新修复了以下问题：

- 更新到 2.10.7 版：

+ 修复具有 GTK+ < 3.16 的版本。

- 来自版本 2.10.6 的更改：

+ 修复 JavaScript 垃圾回收器在 Web 工作线程中运行导致 google 地图挂起时，Web 进行中的死锁问题。

+ 修复不显示控件属性的媒体控件。

+ 修复快速尝试多个 DnD 操作时发生的 Web 进程崩溃问题。

- 来自版本 2.10.5 的更改：

+ 已设置代理时，禁用 DNS 预取

+ 减少匹配其他浏览器的同时最大网络连接数。

+ 使 WebKitWebView 始终传播 motion-notify-event 信号。

+ 新增一个运行时使用环境变量强制加速复合模式的方式。

+ 修复使用 GTK+ 3.19 渲染的输入元素和滚动条。

+ 修复使用纯色渲染线条的问题。

+ 修复在将负载提交至从历史记录缓存还原的页面时，由于未得到主要资源响应而造成的 UI 进程崩溃问题。

+ 修复使用自定义 URI 方案 API 加载大量内容时的 WebProcess 崩溃问题。

+ 修复创建屏幕保护程序 DBus 代理时 WebView 损坏，而导致的 UI 进程崩溃问题。

+ 修复加速复合模式中的 BadDrawable X 错误导致的 WebProcess 崩溃问题。

+ 修复地址与页面大小不符而导致的 PPC64 崩溃问题。

+ 修复 dispatchDecidePolicyForNavigationAction 中提出的 std::bad_function_call exception 异常。

+ 修复数据 URL 的下载。

+ 修复关闭含有窗口型插件的页面时出现的运行时重要警告。

+ 修复多个崩溃与渲染问题。

+ 翻译更新：法语、德语、意大利语、土耳其语。

+ 安全补丁（CVE-2015-7096、CVE-2015-7098）。

+ 更新到版本 2.10.4，重要的变更：

+ 网络进程的新 HTTP 磁盘缓存

+ 新 Web Inspector UI。

+ 播放全屏视频时禁止执行自动化屏幕保护程序。

+ 初始编辑器 API。

+ 性能改进。

- 此更新解决了以下安全问题：
 CVE-2015-1122、CVE-2015-1152、CVE-2015-1155、CVE-2015-3660、CVE-2015-3730、CVE-2015-3738、CVE-2015-3740、CVE-2015-3742、CVE-2015-3744、CVE-2015-3746、CVE-2015-3750、CVE-2015-3751、CVE-2015-3754、CVE-2015-3755、CVE-2015-5804、CVE-2015-5805、CVE-2015-5807、CVE-2015-5810、CVE-2015-5813、CVE-2015-5814、CVE-2015-5815、CVE-2015-5817、CVE-2015-5818、CVE-2015-5825、CVE-2015-5827、CVE-2015-5828、CVE-2015-5929、CVE-2015-5930、CVE-2015-5931、CVE-2015-7002、CVE-2015-7013、CVE-2015-7014、CVE-2015-7048、CVE-2015-7095、CVE-2015-7097、CVE-2015-7099、CVE-2015-7100、CVE-2015-7102、CVE-2015-7103、CVE-2015-7104

- 添加 BuildRequires：获取断字支持的 hyphen-devel请注意，这是损坏的上游。

- 使用 -DENABLE_DATABASE_PROCESS=OFF 和

-DENABLE_INDEXED_DATABASE=OFF 构建以避免 GCC 4.8 的问题。

遠端主機上執行的 Apple iTunes 版本比 12.3.1 舊。因此，會受到因 WebKit 和 CoreText 元件中的記憶體損毀問題而導致的多個弱點影響。攻擊者可利用這些問題，造成拒絕服務或執行任意程式碼。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

远程主机上运行的 Apple iTunes 版本低于 12.3.1。因此，由于 WebKit 和 CoreText 组件中存在内存损坏问题，它受到多种漏洞的影响。攻击者可利用这些问题造成拒绝服务或执行任意代码。

请注意，Nessus 并未测试这些问题，而是只依赖于应用程序自我报告的版本号。

The version of Apple Safari installed on the remote host is prior to 9.0.1. It is, therefore, affected by multiple memory corruption issues in WebKit due to improper validation of user-supplied input. An unauthenticated, remote attacker can exploit these, via a crafted website, to execute arbitrary code or possibly cause a denial of service.

The version of Apple iTunes installed on the remote Windows host is prior to 12.3.1. It is, therefore, affected by multiple vulnerabilities due to memory corruption issues in the WebKit and CoreText components. An attacker can exploit these to cause a denial of service or execute arbitrary code.

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

リモートのWindowsホストにインストールされているApple iTunesのバージョンは、12.3.1より前です。そのため、WebKit と CoreText のコンポーネントのメモリ破損の問題による複数の脆弱性による影響を受けます。攻撃者がこれらを悪用して、サービス拒否を引き起こしたり、任意のコードを実行したりする可能性があります。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートホストにインストールされている Apple Safari は、 9.0 1 より前のバージョンです。このため、ユーザー指定の入力の不適切な検証による、WebKit における複数のメモリ破損の問題の影響を受けます。認証されていないリモートの攻撃者が、細工された Web サイトを介してこれらを悪用し、任意のコードを実行したり、サービス拒否を引き起こしたりする可能性があります。

遠端主機上安裝的 Apple Safari 版本比 9.0.1 舊。因此會受到 WebKit 中多個記憶體損毀問題的影響，該問題是因不當驗證使用者提供的輸入所導致。未經驗證的遠端攻擊者可惡意利用這些瑕疵，透過特製的網站來執行任意程式碼，或可能造成拒絕服務。

遠端 Windows 主機上安裝的 Apple iTunes 版本比 12.3.1 舊。因此，會受到因 WebKit 和 CoreText 元件中的記憶體損毀問題而導致的多個弱點影響。攻擊者可利用這些問題，造成拒絕服務或執行任意程式碼。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

远程主机上安装的 Apple Safari 版本低于 9.0.1。因此，它受到 WebKit 中的多种内存损坏问题的影响，造成这些问题的原因是未正确验证用户提供的输入。未经认证的远程攻击者可利用这些漏洞，通过构建的网站来执行任意代码或造成拒绝服务。

远程 Windows 主机上安装的 Apple iTunes 版本低于 12.3.1。因此，由于 WebKit 和 CoreText 组件中存在内存损坏问题，它受到多种漏洞的影响。攻击者可利用这些问题造成拒绝服务或执行任意代码。

请注意，Nessus 并未测试这些问题，而是只依赖于应用程序自我报告的版本号。

The version of Safari installed on the remote host is prior to 9.0.1, and is affected by multiple vulnerabilities in WebKit that are triggered as user-supplied input is not properly validated. With a specially crafted web page, a context-dependent attacker can potentially execute arbitrary code.

ID	名稱	產品	系列	已發布	已更新	嚴重性
86603	Apple iTunes < 12.3.1 Multiple Vulnerabilities (uncredentialed check)	Nessus	Peer-To-Peer File Sharing	2015/10/26	2019/11/20	high
89950	openSUSE Security Update : webkit2gtk3 (openSUSE-2016-340)	Nessus	SuSE Local Security Checks	2016/3/16	2021/1/19	medium
89950	openSUSE セキュリティ更新：webkit2gtk3（openSUSE-2016-340）	Nessus	SuSE Local Security Checks	2016/3/16	2021/1/19	medium
86603	Apple iTunes < 12.3.1 複数の脆弱性（uncredentialed check）	Nessus	Peer-To-Peer File Sharing	2015/10/26	2019/11/20	high
89950	openSUSE 安全性更新：webkit2gtk3 (openSUSE-2016-340)	Nessus	SuSE Local Security Checks	2016/3/16	2021/1/19	medium
89950	openSUSE 安全更新：webkit2gtk3 (openSUSE-2016-340)	Nessus	SuSE Local Security Checks	2016/3/16	2021/1/19	medium
86603	Apple iTunes < 12.3.1 多個弱點 (未經認證的檢查)	Nessus	Peer-To-Peer File Sharing	2015/10/26	2019/11/20	high
86603	Apple iTunes < 12.3.1 多种漏洞（无凭据检查）	Nessus	Peer-To-Peer File Sharing	2015/10/26	2019/11/20	high
86790	Mac OS X : Apple Safari < 9.0.1 Multiple RCE	Nessus	MacOS X Local Security Checks	2015/11/6	2019/11/20	medium
86602	Apple iTunes < 12.3.1 Multiple Vulnerabilities (credentialed check)	Nessus	Windows	2015/10/26	2019/11/20	high
86602	Apple iTunes < 12.3.1複数の脆弱性 (認証情報のチェック)	Nessus	Windows	2015/10/26	2019/11/20	high
86790	Mac OS X：Apple Safari < 9.0.1 複数の RCE	Nessus	MacOS X Local Security Checks	2015/11/6	2019/11/20	medium
86790	Mac OS X：Apple Safari < 9.0.1 多個 RCE	Nessus	MacOS X Local Security Checks	2015/11/6	2019/11/20	medium
86602	Apple iTunes < 12.3.1 多個弱點 (經認證的檢查)	Nessus	Windows	2015/10/26	2019/11/20	high
86790	Mac OS X：Apple Safari < 9.0.1 多种 RCE	Nessus	MacOS X Local Security Checks	2015/11/6	2019/11/20	medium
86602	Apple iTunes < 12.3.1 多种漏洞（凭据检查）	Nessus	Windows	2015/10/26	2019/11/20	high
9028	Safari < 9.0.1 Multiple Vulnerabilities	Nessus Network Monitor	Web Clients	2015/12/17	2019/3/6	high

偵測

搜尋 Plugin

high

medium

medium

high

medium

medium

high

high

medium

high

high

medium

medium

high

medium

high

high