Informace o bezpečnostním obsahu iCloudu pro Windows 7.14

Tento dokument popisuje bezpečnostní obsah iCloudu pro Windows 7.14.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

iCloud pro Windows 7.14

CoreCrypto

K dispozici pro: Windows 7 a novější

Dopad: Zpracování velkého vstupu může vést k odmítnutí služby.

Popis: Problém s odmítnutím služby byl vyřešen vylepšením ověřování vstupů.

CVE-2019-8741: Nicky Mouha z NIST

CoreMedia

K dispozici pro: Windows 7 a novější

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.

CVE-2019-8825: Nalezeno nástrojem GWP-ASan v Google Chromu

Foundation

K dispozici pro: Windows 7 a novější

Dopad: Vzdálenému útočníkovi se může podařit způsobit nečekané ukončení aplikace nebo spustit libovolný kód.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2019-8746: natashenka a Samuel Groß z týmu Google Project Zero

libxml2

K dispozici pro: Windows 7 a novější

Dopad: Několik problémů v knihovně libxml2.

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením ověřování vstupů.

CVE-2019-8749: nalezeno programem OSS-Fuzz

CVE-2019-8756: nalezeno programem OSS-Fuzz

UIFoundation

K dispozici pro: Windows 7 a novější

Dopad: Zpracování škodlivého textového souboru může vést ke spuštění libovolného kódu.

Popis: Problém s přetečením zásobníku byl vyřešen vylepšením kontroly rozsahu.

CVE-2019-8745: riusksk ze společnosti VulWar Corp ve spolupráci se Zero Day Initiative společnosti Trend Micro

WebKit

K dispozici pro: Windows 7 a novější

Dopad: Zpracování škodlivého webového obsahu může vést k univerzálnímu skriptování napříč weby.

Popis: Problém v logice byl vyřešen vylepšením správy stavu.

CVE-2019-8625: Sergei Glazunov z týmu Google Project Zero

CVE-2019-8719: Sergei Glazunov z týmu Google Project Zero

CVE-2019-8764: Sergei Glazunov z týmu Google Project Zero

WebKit

K dispozici pro: Windows 7 a novější

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.

CVE-2019-8707: anonymní výzkumník ve spolupráci se Zero Day Initiative společnosti Trend Micro, cc ve spolupráci se Zero Day Initiative společnosti Trend Micro

CVE-2019-8726: Jihui Lu z týmu Tencent KeenLab

CVE-2019-8728: Junho Jang z týmu LINE Security a Hanul Choi ze společnosti ABLY Corporation

CVE-2019-8733: Sergei Glazunov z týmu Google Project Zero

CVE-2019-8734: nalezeno programem OSS-Fuzz

CVE-2019-8735: G. Geshev ve spolupráci se Zero Day Initiative společnosti Trend Micro

CVE-2019-8743: zhunki z týmu Codesafe ve společnosti Legendsec ze skupiny Qi'anxin Group

CVE-2019-8751: Dongzhuo Zhao ve spolupráci s týmem ADLab společnosti Venustech

CVE-2019-8752: Dongzhuo Zhao ve spolupráci s týmem ADLab společnosti Venustech

CVE-2019-8763: Sergei Glazunov z týmu Google Project Zero

CVE-2019-8765: Samuel Groß z týmu Google Project Zero

CVE-2019-8773: nalezeno programem OSS-Fuzz

WebKit

K dispozici pro: Windows 7 a novější

Dopad: Zpracování škodlivého webového obsahu může vést k univerzálnímu skriptování napříč weby.

Popis: Problém s ověřováním byl vyřešen vylepšením logiky.

CVE-2019-8762: Sergei Glazunov z týmu Google Project Zero

Další poděkování

Aktualizace softwaru

Poděkování za pomoc zaslouží Michael Gorelik (@smgoreli) ze společnosti Morphisec (morphisec.com).

WebKit

Poděkování za pomoc zaslouží Yiğit Can YILMAZ (@yilmazcanyigit) a Zhihua Yao z týmu DBAPPSecurity Zion Lab.