Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
iTunes 12.9.4 za Windows
Objavljeno 25. ožujka 2019.
CoreCrypto
Dostupno za: Windows 7 i novije
Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2019-8542: anonimni istraživač
WebKit
Dostupno za: Windows 7 i novije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8506: Samuel Groß (Google Project Zero)
WebKit
Dostupno za: Windows 7 i novije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8535: Zhiyang Zeng (@Wester) (Tencent Blade Team)
WebKit
Dostupno za: Windows 7 i novije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2019-6201: dwfault u suradnji s ADLab, Venustech
CVE-2019-8518: Samuel Groß (Google Project Zero)
CVE-2019-8523: Apple
CVE-2019-8524: G. Geshev u suradnji s Trend Micro Zero Day Initiative
CVE-2019-8558: Samuel Groß (Google Project Zero)
CVE-2019-8559: Apple
CVE-2019-8563: Apple
WebKit
Dostupno za: Windows 7 i novije
Učinak: obradom zlonamjernog web-sadržaja moglo se doći do otkrivanja osjetljivih korisničkih podataka
Opis: prilikom dohvaćanja API-ja postojao je problem različitih izvora. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8515: James Lee (@Windowsrcer)
WebKit
Dostupno za: Windows 7 i novije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8536: Apple
CVE-2019-8544: anonimni istraživač
WebKit
Dostupno za: Windows 7 i novije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2019-7285: dwfault (ADLab, Venustech)
CVE-2019-8556: Apple
WebKit
Dostupno za: Windows 7 i novije
Učinak: zlonamjerno web-mjesto možda može pokrenuti skripte u kontekstu drugog web-mjesta
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2019-8503: Linus Särud (Detectify)
WebKit
Dostupno za: Windows 7 i novije
Učinak: proces u memoriji za testiranje mogao je zaobići ograničenja memorije za testiranje
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2019-8562: Wen Xu (SSLab, Georgia Tech) i Hanqing Zhao (Chaitin Security Research Lab)
WebKit
Dostupno za: Windows 7 i novije
Učinak: obradom zlonamjernog web-sadržaja mogla se otkriti procesna memorija
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
CVE-2019-7292: Zhunki i Zhiyi Zhang (360 ESG Codesafe Team)
WebKit
Dostupno za: Windows 7 i novije
Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2019-8551: Ryan Pickren (ryanpickren.com)
Dodatna zahvala
Safari
Željeli bismo zahvaliti Nikhilu Mittalu (@c0d3G33k) iz tvrtke Payatu Labs (payatu.com) na njegovoj pomoći.
WebKit
Željeli bismo zahvaliti Andreju Kovalevu iz tima za sigurnost aplikacije Yandex na njegovoj pomoći.