Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
iTunes 12.9 za Windows
Izdano 12. rujna 2018.
CFNetwork
Dostupno za Windows 7 i novije verzije
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4126: Bruno Keith (@bkth_) u suradnji s inicijativom Zero Day (Trend Micro)
Unos je dodan 30. listopada 2018.
CoreFoundation
Dostupno za Windows 7 i novije verzije
Učinak: aplikacije mogu dobiti veće ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4414: Britanski nacionalni centar za kibernetičku sigurnost (NCSC)
Unos je dodan 30. listopada 2018.
CoreFoundation
Dostupno za Windows 7 i novije verzije
Učinak: zlonamjerne aplikacije mogu dodijeliti ovlasti visokog stupnja
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4412: Britanski nacionalni centar za kibernetičku sigurnost (NCSC)
Unos je dodan 30. listopada 2018.
Jezgreni tekst
Dostupno za Windows 7 i novije verzije
Učinak: obradom zlonamjerne tekstne datoteke može doći do izvršavanja proizvoljnog programskog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4347: Vasyl Tkachuk, Readdle
Unos dodan 30. listopada 2018., ažuriran 10. siječnja 2019.
WebKit
Dostupno za Windows 7 i novije verzije
Učinak: neočekivana interakcija uzrokuje kvar ASSERT
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2018-4191: otkrio OSS-Fuzz
WebKit
Dostupno za Windows 7 i novije verzije
Učinak: svojstvo SecurityErrors iz više izvora sadrži izvor okvira kojem je pristupljeno
Opis: problem je riješen uklanjanjem podataka o izvoru.
CVE-2018-4311: Erling Alf Ellingsen (@steike)
WebKit
Dostupno za Windows 7 i novije verzije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2018-4316: crixer, Hanming Zhang (@4shitak4) (tim Vulcan, Qihoo 360)
WebKit
Dostupno za Windows 7 i novije verzije
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2018-4299: Samuel Groβ (saelo) u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2018-4323: Ivan Fratrić (Google Project Zero)
CVE-2018-4328: Ivan Fratrić (Google Project Zero)
CVE-2018-4358: tim @phoenhex (@bkth_ @5aelo @_niklasb) u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2018-4359: Samuel Groß (@5aelo)
CVE-2018-4360: William Bowling (@wcbowling)
Unos ažuriran 24. listopada 2018.
WebKit
Dostupno za Windows 7 i novije verzije
Učinak: zlonamjerno web-mjesto može izazvati neočekivano ponašanje u više izvora
Opis: u iframe elementima postojao je problem s više izvora. To je riješeno poboljšanim praćenjem izvora sigurnosti.
CVE-2018-4319: John Pettitt (Google)
WebKit
Dostupno za Windows 7 i novije verzije
Učinak: zlonamjerno web-mjesto može pokrenuti skripte u kontekstu drugog web-mjesta
Opis: u pregledniku Safari otkriven je problem sa skriptiranjem na više stranica. Problem je riješen poboljšanom provjerom valjanosti URL-a.
CVE-2018-4309: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro)
WebKit
Dostupno za Windows 7 i novije verzije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4197: Ivan Fratrić (Google Project Zero)
CVE-2018-4306: Ivan Fratrić (Google Project Zero)
CVE-2018-4312: Ivan Fratrić (Google Project Zero)
CVE-2018-4314: Ivan Fratrić (Google Project Zero)
CVE-2018-4315: Ivan Fratrić (Google Project Zero)
CVE-2018-4317: Ivan Fratrić (Google Project Zero)
CVE-2018-4318: Ivan Fratrić (Google Project Zero)
WebKit
Dostupno za Windows 7 i novije verzije
Učinak: zlonamjerno web-mjesto može prenijeti podatke o slikama iz više izvora
Opis: u pregledniku Safari otkriven je problem sa skriptiranjem na više stranica. Problem je riješen poboljšanom provjerom valjanosti URL-a.
CVE-2018-4345: Jun Kokatsu (@shhnjk)
Unos dodan 10. siječnja 2019.
WebKit
Dostupno za Windows 7 i novije verzije
Učinak: neočekivana interakcija uzrokuje kvar ASSERT
Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4361: otkrio OSS-Fuzz
CVE-2018-4474: otkrio OSS-Fuzz
Unos ažuriran 22. siječnja 2019.
Dodatna zahvala
SQLite
Na pomoći zahvaljujemo Andreasu Kurtzu (@aykay) (NESO Security Labs GmbH).
WebKit
Na pomoći zahvaljujemo Caryju Hartlineu, Hanmingu Zhangu iz tima 360 Vulcan, laboratoriju Tencent Keen Security Lab koji surađuje s inicijativom Zero Day tvrtke Trend Micro te Zachu Maloneu iz tvrtke CA Technologies.