Informacije o sigurnosnom sadržaju programa iCloud za Windows 7.14

U ovom se dokumentu opisuje sigurnosni sadržaj programa iCloud za Windows 7.14.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

iCloud za Windows 7.14

CoreCrypto

Dostupno za Windows 7 i novije verzije

Učinak: obradom velikog unosa može se izazvati uskraćivanje usluge

Opis: problem uskraćivanja usluge riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8741: Nicky Mouha (NIST)

CoreMedia

Dostupno za Windows 7 i novije verzije

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8825: otkrio GWP-ASan u pregledniku Google Chrome

Osnove

Dostupno za Windows 7 i novije verzije

Učinak: udaljeni napadač može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8746: natashenka i Samuel Groß (Google Project Zero)

libxml2

Dostupno za Windows 7 i novije verzije

Učinak: veći broj problema u medijateci libxml2

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8749: otkrio OSS-Fuzz

CVE-2019-8756: otkrio OSS-Fuzz

UIFoundation

Dostupno za Windows 7 i novije verzije

Učinak: obradom zlonamjerne tekstne datoteke može doći do izvršavanja proizvoljnog programskog koda

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2019-8745: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)

WebKit

Dostupno za Windows 7 i novije verzije

Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8625: Sergei Glazunov (Google Project Zero)

CVE-2019-8719: Sergei Glazunov (Google Project Zero)

CVE-2019-8764: Sergei Glazunov (Google Project Zero)

WebKit

Dostupno za Windows 7 i novije verzije

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2019-8707: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro), cc u suradnji s inicijativom Zero Day (Trend Micro)

CVE-2019-8726: Jihui Lu (Tencent KeenLab)

CVE-2019-8728: Junho Jang (tim za sigurnost, LINE) i Hanul Choi (ABLY Corporation)

CVE-2019-8733: Sergei Glazunov (Google Project Zero)

CVE-2019-8734: otkrio OSS-Fuzz

CVE-2019-8735: G. Geshev u suradnji s inicijativom Zero Day (Trend Micro)

CVE-2019-8743: zhunki (tim Codesafe, Legendsec grupacije Qi'anxin)

CVE-2019-8751: Dongzhuo Zhao u suradnji s laboratorijem ADLab (Venustech)

CVE-2019-8752: Dongzhuo Zhao u suradnji s laboratorijem ADLab (Venustech)

CVE-2019-8763: Sergei Glazunov (Google Project Zero)

CVE-2019-8765: Samuel Groß (Google Project Zero)

CVE-2019-8773: otkrio OSS-Fuzz

WebKit

Dostupno za Windows 7 i novije verzije

Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.

CVE-2019-8762: Sergei Glazunov (Google Project Zero)

Dodatna zahvala

Softverska ažuriranja

Zahvaljujemo Michaelu Goreliku (@smgoreli) (Morphisec (morphisec.com)) na pomoći.

WebKit

Zahvaljujemo Yiğitu Canu YILMAZU (@yilmazcanyigit) i Zhihuau Yaou (DBAPPSecurity Zion Lab) na pomoći.