Informace o bezpečnostním obsahu iCloudu pro Windows 11.5
Tento dokument popisuje bezpečnostní obsah iCloudu pro Windows 11.5.
Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
iCloud pro Windows 11.5
CoreText
K dispozici pro: Windows 10 a novější přes Microsoft Store
Dopad: Zpracování škodlivého textového souboru může vést ke spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.
CVE-2020-9999: Apple
Foundation
K dispozici pro: Windows 10 a novější přes Microsoft Store
Dopad: Místnímu uživateli se může podařit číst libovolné soubory.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2020-10002: James Hutchins
ImageIO
K dispozici pro: Windows 10 a novější přes Microsoft Store
Dopad: Zpracování škodlivého obrázku může vést ke spuštění libovolného kódu.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2020-9961: Xingwei Lin z týmu Ant Security Light-Year Lab
ImageIO
K dispozici pro: Windows 10 a novější přes Microsoft Store
Dopad: Zpracování škodlivého obrázku může vést ke spuštění libovolného kódu.
Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2020-27912: Xingwei Lin z týmu Ant Security Light-Year Lab
ImageIO
K dispozici pro: Windows 10 a novější přes Microsoft Store
Dopad: Otevření škodlivého PDF souboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
CVE-2020-9876: Mickey Jin z Trend Micro
libxml2
K dispozici pro: Windows 10 a novější přes Microsoft Store
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění kódu
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2020-27917: nalezeno programem OSS-Fuzz
libxml2
K dispozici pro: Windows 10 a novější přes Microsoft Store
Dopad: Vzdálenému útočníkovi se může podařit způsobit nečekané ukončení aplikace nebo spustit libovolný kód.
Popis: Přetečení celých čísel bylo vyřešeno vylepšením ověřování vstupů.
CVE-2020-27911: nalezeno programem OSS-Fuzz
libxml2
K dispozici pro: Windows 10 a novější přes Microsoft Store
Dopad: Zpracování škodlivého souboru může vést ke spuštění libovolného kódu.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2020-9981: nalezeno programem OSS-Fuzz
SQLite
K dispozici pro: Windows 10 a novější přes Microsoft Store
Dopad: Vzdálenému útočníkovi se může podařit způsobit odmítnutí služby.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2020-13434
CVE-2020-13435
SQLite
K dispozici pro: Windows 10 a novější přes Microsoft Store
Dopad: Vzdálenému útočníkovi se může podařit spustit libovolný kód.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.
CVE-2020-13630
SQLite
K dispozici pro: Windows 10 a novější přes Microsoft Store
Dopad: Vzdálenému útočníkovi se může podařit způsobit únik paměti.
Popis: Problém s odhalováním informací byl vyřešen vylepšením správy stavu.
CVE-2020-9849
SQLite
K dispozici pro: Windows 10 a novější přes Microsoft Store
Dopad: Škodlivý dotaz SQL může vést k poškození dat.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2020-13631
WebKit
K dispozici pro:
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2020-9951: Marcin 'Icewall' Noga ze společnosti Cisco Talos
CVE-2020-27918: anonymní výzkumník
WebKit
K dispozici pro: Windows 10 a novější přes Microsoft Store
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění kódu
Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
CVE-2020-9983: zhunki
WebKit
K dispozici pro: Windows 10 a novější přes Microsoft Store
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2020-27918: anonymní výzkumník
CVE-2020-9947: cc ve spolupráci se Zero Day Initiative společnosti Trend Micro
CVE-2020-9951: Marcin 'Icewall' Noga ze společnosti Cisco Talos
Další poděkování
Safari
Poděkování za pomoc zaslouží Ryan Pickren (ryanpickren.com).
WebKit
Poděkování za pomoc zaslouží Pawel Wylecial ze společnosti REDTEAM.PL, Ryan Pickren (ryanpickren.com), Tsubasa FUJII (@reinforchu) a Zhiyang Zeng(@Wester) z týmu OPPO ZIWU Security Lab.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.