אודות תוכן האבטחה של iCloud for Windows 11.5

מסמך זה מתאר את תוכן האבטחה של iCloud for Windows 11.5.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple.

iCloud for Windows 11.5

הופץ ב-2 בדצמבר 2020

CoreText

זמין עבור: Windows 10 ואילך דרך ה-Microsoft Store

השפעה: עיבוד קובץ מלל בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2020-9999:‏ Apple

הרשומה נוספה ב-15 בדצמבר 2020

יסוד

זמין עבור: Windows 10 ואילך דרך ה-Microsoft Store

השפעה: משתמש מקומי עלול להצליח לקרוא קבצים שרירותיים

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2020-10002: ג'יימס האצ'ינס (James Hutchins)

ImageIO

זמין עבור: Windows 10 ואילך דרך ה-Microsoft Store

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2020-9961: שינגווי לין מ-Ant Security Light-Year Lab

ImageIO

זמין עבור: Windows 10 ואילך דרך ה-Microsoft Store

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2020-27912: שינגווי לין מ-Ant Security Light-Year Lab

ImageIO

זמין עבור: Windows 10 ואילך דרך ה-Microsoft Store

השפעה: פתיחת קובץ PDF שנוצר באופן זדוני עלולה להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-9876: מיקי ג'ין מ-Trend Micro

libxml2

זמין עבור: Windows 10 ואילך דרך ה-Microsoft Store

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2020-27917: התגלה על-ידי OSS-Fuzz

libxml2

זמין עבור: Windows 10 ואילך דרך ה-Microsoft Store

השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.

CVE-2020-27911: התגלה על-ידי OSS-Fuzz

libxml2

זמין עבור: Windows 10 ואילך דרך ה-Microsoft Store

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2020-9981: התגלה על-ידי OSS-Fuzz

SQLite

זמין עבור: Windows 10 ואילך דרך ה-Microsoft Store

השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2020-13434

CVE-2020-13435

SQLite

זמין עבור: Windows 10 ואילך דרך ה-Microsoft Store

השפעה: תוקף מרוחק עלול להצליח להפעיל קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2020-13630

SQLite

זמין עבור: Windows 10 ואילך דרך ה-Microsoft Store

השפעה: תוקף מרוחק עלול להצליח להדליף זיכרון

תיאור: בעיית חשיפת מידע טופלה באמצעות ניהול מצב משופר.

CVE-2020-9849

SQLite

זמין עבור: Windows 10 ואילך דרך ה-Microsoft Store

השפעה: שאילתת SQL בעלת מבנה זדוני עלולה להוביל להשחתת נתונים

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2020-13631

WebKit

זמין עבור: 

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2020-9951: ‏מרצין 'Icewall' נוגה מ-Cisco Talos

CVE-2020-27918: חוקר אנונימי

WebKit

זמין עבור: Windows 10 ואילך דרך ה-Microsoft Store

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-9983: ‏zhunki

WebKit

זמין עבור: Windows 10 ואילך דרך ה-Microsoft Store

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2020-27918: חוקר אנונימי

CVE-2020-9947: ‏cc בעבודה עם Zero Day Initiative של Trend Micro

CVE-2020-9951: ‏מרצין 'Icewall' נוגה מ-Cisco Talos

תודות נוספות

Safari

אנחנו מבקשים להודות לראיין פיקרן (ryanpickren.com) על הסיוע.

WebKit

אנחנו מבקשים להודות לפאבל וילצ'יאל מ-REDTEAM.PL, לריאן פיקרן (ryanpickren.com), לטסובאסה פוג'י (‎@reinforchu), לג'יאנג זנג (‎@Wester) מ-OPPO ZIWU Security Lab על הסיוע.

 

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

תאריך פרסום: