אודות תוכן האבטחה של iCloud for Windows 7.20

מסמך זה מתאר את תוכן האבטחה של iCloud for Windows 7.20.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple.

iCloud for Windows 7.20

הופץ ב-10 באוגוסט, 2020

CoreGraphics

זמין עבור: Windows 7 ואילך

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.

CVE-2020-9883: חוקר אנונימי, מיקי ג'ין (Mickey Jin) מ-Trend Micro

הערך נוסף ב-21 בספטמבר 2020, עודכן ב-15 בדצמבר 2020

ImageIO

זמין עבור: Windows 7 ואילך

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2020-27933: שינגווי לין מ-Ant-Financial Light-Year Security Lab

הערך נוסף ב-16 במרץ 2021

ImageIO

זמין עבור: Windows 7 ואילך

השפעה: ב-openEXR היו כמה בעיות של גלישת חוצץ

תיאור: מספר בעיות ב-openEXR טופלו באמצעות בדיקות משופרות.

CVE-2020-11758: שינגווי לין מ-Ant-Financial Light-Year Security Lab

CVE-2020-11759: שינגווי לין מ-Ant-Financial Light-Year Security Lab

CVE-2020-11760: שינגווי לין מ-Ant-Financial Light-Year Security Lab

CVE-2020-11761: שינגווי לין מ-Ant-Financial Light-Year Security Lab

CVE-2020-11762: שינגווי לין מ-Ant-Financial Light-Year Security Lab

CVE-2020-11763: שינגווי לין מ-Ant-Financial Light-Year Security Lab

CVE-2020-11764: שינגווי לין מ-Ant-Financial Light-Year Security Lab

CVE-2020-11765: שינגווי לין מ-Ant-Financial Light-Year Security Lab

הערך נוסף ב-8 בספטמבר 2020

ImageIO

זמין עבור: Windows 7 ואילך

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-9871: שינגווי לין מ-Ant-Financial Light-Year Security Lab

CVE-2020-9872: שינגווי לין מ-Ant-Financial Light-Year Security Lab

CVE-2020-9874: שינגווי לין מ-Ant-Financial Light-Year Security Lab

CVE-2020-9879: שינגווי לין מ-Ant-Financial Light-Year Security Lab

CVE-2020-9936: מיקי ג'ין (Mickey Jin) מ-Trend Micro

CVE-2020-9937: שינגווי לין מ-Ant-Financial Light-Year Security Lab

ImageIO

זמין עבור: Windows 7 ואילך

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2020-9873: שינגווי לין מ-Ant-Financial Light-Year Security Lab

CVE-2020-9938: שינגווי לין מ-Ant-Financial Light-Year Security Lab

CVE-2020-9984: חוקר אנונימי

הערך עודכן ב-21 בספטמבר 2020

ImageIO

זמין עבור: Windows 7 ואילך

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-9877: שינגווי לין מ-Ant-Financial Light-Year Security Lab

ImageIO

זמין עבור: Windows 7 ואילך

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.

CVE-2020-9919: מיקי ג'ין מ-Trend Micro

ImageIO

זמין עבור: Windows 7 ואילך

השפעה: פתיחת קובץ PDF שנוצר באופן זדוני עלולה להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-9876: מיקי ג'ין מ-Trend Micro

ImageIO

זמין עבור: Windows 7 ואילך

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.

CVE-2020-9875: מיקי ג'ין מ-Trend Micro

libxml2

זמין עבור: Windows 7 ואילך

השפעה: עיבוד קובץ XML בעל מבנה זדוני עלול להוביל לסיום לא צפוי של אפליקציה או לביצוע קוד שרירותי

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2020-9926: התגלה על-ידי OSS-Fuzz

הערך נוסף ב-16 במרץ 2021

WebKit

זמין עבור: Windows 7 ואילך

השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2020-9894:‏ 0011 יחד עם Zero Day Initiative של Trend Micro

WebKit

זמין עבור: Windows 7 ואילך

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול למנוע אכיפה של מדיניות אבטחת תוכן

תיאור: בעיית גישה הייתה קיימת במדיניות אבטחת תוכן.  בעיה זו טופלה באמצעות שיפור ההגבלות על התהליך.

CVE-2020-9915: איוב עית אלמוקטאר (Ayoub AIT ELMOKHTAR) מ-Noon

WebKit

זמין עבור: Windows 7 ואילך

השפעה: עיבוד תוכן אינטרנטי בעל מבנה זדוני עלול לגרום ל-Scripting אוניברסלי בין אתרים

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2020-9925: חוקר אנונימי

WebKit

זמין עבור: Windows 7 ואילך

השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2020-9893:‏ 0011 יחד עם Zero Day Initiative של Trend Micro

CVE-2020-9895:‏ וון שו (Wen Xu) מ-SSLab, ‏Georgia Tech

WebKit

זמין עבור: Windows 7 ואילך

השפעה: תוקף זדוני עם יכולות קריאה וכתיבה שרירותיות עלול לעקוף אימות מצביע

תיאור: מספר בעיות טופלו באמצעות לוגיקה משופרת.

CVE-2020-9910:‏ סמואל גרוס (Samuel Groß) מ-Google Project Zero

טעינת עמוד WebKit

זמין עבור: Windows 7 ואילך

השפעה: תוקף זדוני עלול להסתיר יעד של כתובת URL

תיאור: בעיה בקידוד Unicode של כתובת URL טופלה באמצעות ניהול מצבים משופר.

CVE-2020-9916: ראקש מאנה (Rakesh Mane)‏ (‎@RakeshMane10)

WebKit Web Inspector

זמין עבור: Windows 7 ואילך

השפעה: העתקת כתובת URL מ-Web Inspector עלולה לגרום להחדרת פקודה

תיאור : בעיה של החדרת פקודה הייתה קיימת ב-Web Inspector. בעיה זו טופלה באמצעות יכולת ביטול משופרת.

CVE-2020-9862: אופיר לוז'קין (Ophir Lojkine)‏ (‎@lovasoa)

תודות נוספות

ImageIO

אנחנו מבקשים להודות לשינג-וויי לין מ-Ant-Financial Light-Year Security Lab על הסיוע.

הערך נוסף ב-21 בספטמבר 2020

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

תאריך פרסום: