אודות תוכן האבטחה של iCloud for Windows 7.14
מסמך זה מתאר את תוכן האבטחה של iCloud for Windows 7.14.
אודות עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple.
iCloud for Windows 7.14
CoreCrypto
זמין עבור: Windows 7 ואילך
השפעה: עיבוד קלט גדול עלול להוביל למניעת שירות
תיאור: בעיית מניעת שירות טופלה באמצעות אימות קלט משופר.
CVE-2019-8741: ניקי מוהא מ-NIST
CoreMedia
זמין עבור: Windows 7 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2019-8825: התגלה על ידי GWP-ASan ב-Google Chrome
יסוד
זמין עבור: Windows 7 ואילך
השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2019-8746: נטאשנקה וסמואל גרוס מ-Google Project Zero
libxml2
זמין עבור: Windows 7 ואילך
השפעה: מספר בעיות ב-libxml2
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות שיפור אימות הקלט.
CVE-2019-8749: התגלה על-ידי OSS-Fuzz
CVE-2019-8756: התגלה על-ידי OSS-Fuzz
UIFoundation
זמין עבור: Windows 7 ואילך
השפעה: עיבוד קובץ מלל בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי
תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.
CVE-2019-8745: riusksk מ-VulWar Corp בעבודה עם Zero Day Initiative של Trend Micro
WebKit
זמין עבור: Windows 7 ואילך
השפעה: עיבוד תוכן אינטרנטי בעל מבנה זדוני עלול לגרום ל-Scripting אוניברסלי בין אתרים
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2019-8625: סרגיי גלזונוב מ-Google Project Zero
CVE-2019-8719: סרגיי גלזונוב מ-Google Project Zero
CVE-2019-8764: סרגיי גלזונוב מ-Google Project Zero
WebKit
זמין עבור: Windows 7 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.
CVE-2019-8707: חוקר אנונימי בעבודה עם Zero Day Initiative של Trend Micro, cc בעבודה עם Zero Day Initiative של Trend Micro
CVE-2019-8726: ג'י-חוי לו מ-Tencent KeenLab
CVE-2019-8728: ג'ונהו ג'אנג מ-LINE Security Team והאנול צ'וי מ-ABLY Corporation
CVE-2019-8733: סרגיי גלזונוב מ-Google Project Zero
CVE-2019-8734: התגלה על-ידי OSS-Fuzz
CVE-2019-8735: ג. גשב יחד עם Zero Day Initiative של Trend Micro
CVE-2019-8743: ג'ונ-קי מ-Codesafe Team of Legendsec ב-Qi'anxin Group
CVE-2019-8751: דונגג'ו ג'או בעבודה עם ADLab של Venustech
CVE-2019-8752: דונגג'ו ג'או בעבודה עם ADLab של Venustech
CVE-2019-8763: סרגיי גלזונוב מ-Google Project Zero
CVE-2019-8765: סמואל גרוס מ-Google Project Zero
CVE-2019-8773: התגלה על-ידי OSS-Fuzz
WebKit
זמין עבור: Windows 7 ואילך
השפעה: עיבוד תוכן אינטרנטי בעל מבנה זדוני עלול לגרום ל-Scripting אוניברסלי בין אתרים
תיאור: בעיית אימות טופלה באמצעות לוגיקה משופרת.
CVE-2019-8762: סרגיי גלזונוב מ-Google Project Zero
תודות נוספות
עדכון תוכנה
ברצוננו להודות למייקל גורליק (@smgoreli) מ-Morphisec (morphisec.com) על העזרה.
WebKit
ברצוננו להודות לייט קן ילמז (@yilmazcanyigit) ולז'יווה יאו מ-DBAPPSecurity Zion Lab על העזרה.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.