Informationen zum Sicherheitsinhalt von iCloud für Windows 7.11

In diesem Dokument wird der Sicherheitsinhalt von iCloud für Windows 7.11 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit.

iCloud für Windows 7.11

CoreCrypto

Verfügbar für: Windows 7 und neuer

Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2019-8542: Ein anonymer Forscher

iTunes

Verfügbar für: Windows 7 und neuer

Auswirkung: Die Ausführung des iTunes-Installationsprogramms in einem nicht vertrauenswürdigen Verzeichnis konnte zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Installation von iTunes für Windows bestand eine Race-Bedingung. Dieses Problem wurde durch eine verbesserte Statusverarbeitung behoben.

CVE-2019-6232: Stefan Kanthak (eskamation.de)

WebKit

Verfügbar für: Windows 7 und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-6201: dwfault in Zusammenarbeit mit Adlab von Venustech

CVE-2019-8518: Samuel Groß von Google Project Zero

CVE-2019-8523: Apple

CVE-2019-8524: G. Geshev in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2019-8558: Samuel Groß von Google Project Zero

CVE-2019-8559: Apple

CVE-2019-8563: Apple

CVE-2019-8638: gefunden von OSS-Fuzz

CVE-2019-8639: gefunden von OSS-Fuzz

WebKit

Verfügbar für: Windows 7 und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8506: Samuel Groß von Google Project Zero

WebKit

Verfügbar für: Windows 7 und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-8535: Zhiyang Zeng (@Wester) vom Tencent Blade Team

WebKit

Verfügbar für: Windows 7 und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-6201: dwfault in Zusammenarbeit mit Adlab von Venustech

CVE-2019-8518: Samuel Groß von Google Project Zero

CVE-2019-8523: Apple

CVE-2019-8524: G. Geshev in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2019-8558: Samuel Groß von Google Project Zero

CVE-2019-8559: Apple

CVE-2019-8563: Apple

WebKit

Verfügbar für: Windows 7 und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann vertrauliche Benutzerdaten offenlegen.

Beschreibung: Es bestand ein Cross-Origin-Problem mit der Abruf-API. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8515: James Lee (@Windowsrcer)

WebKit

Verfügbar für: Windows 7 und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8536: Apple

CVE-2019-8544: Ein anonymer Forscher

WebKit

Verfügbar für: Windows 7 und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-7285: dwfault von Adlab von Venustech

CVE-2019-8556: Apple

WebKit

Verfügbar für: Windows 7 und neuer

Auswirkung: Eine in böswilliger Absicht erstellte Website kann über eine andere Website Skripte ausführen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2019-8503: Linus Särud von Detectify

WebKit

Verfügbar für: Windows 7 und neuer

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten kann Prozessspeicher offengelegt werden

Beschreibung: Ein Überprüfungsproblem wurde mit einer verbesserten Logik behoben.

CVE-2019-7292: Zhunki und Zhiyi Zhang vom 360 ESG Codesafe Team

WebKit

Verfügbar für: Windows 7 und neuer

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2019-8551: Ryan Pickren (ryanpickren.com)

Windows Installer

Verfügbar für: Windows 7 und neuer

Auswirkung: Die Ausführung des iCloud-Installationsprogramms in einem nicht vertrauenswürdigen Verzeichnis konnte zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Installation von iCloud für Windows bestand eine Race-Bedingung. Dieses Problem wurde durch eine verbesserte Statusverarbeitung behoben.

CVE-2019-6236: Stefan Kanthak (eskamation.de)

Zusätzliche Danksagung

Safari

Wir möchten uns bei Nikhil Mittal (@c0d3G33k) von Payatu Labs (payatu.com) und Ryan Pickren (ryanpickren.com) für die Unterstützung bedanken.

WebKit

Wir möchten uns bei Andrey Kovalev vom Yandex Security Team für die Unterstützung bedanken.