Informazioni sui contenuti di sicurezza di iCloud per Windows 11.5

In questo documento vengono descritti i contenuti di sicurezza di iCloud per Windows 11.5.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

iCloud per Windows 11.5

CoreText

Disponibile per: Windows 10 e versioni successive tramite il Microsoft Store

Impatto: l'elaborazione di un file di testo dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-9999: Apple

Foundation

Disponibile per: Windows 10 e versioni successive tramite il Microsoft Store

Impatto: un utente collegato in locale può essere in grado di leggere file arbitrari.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-10002: James Hutchins

ImageIO

Disponibile per: Windows 10 e versioni successive tramite il Microsoft Store

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-9961: Xingwei Lin di Ant Security Light-Year Lab

ImageIO

Disponibile per: Windows 10 e versioni successive tramite il Microsoft Store

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-27912: Xingwei Lin di Ant Security Light-Year Lab

ImageIO

Disponibile per: Windows 10 e versioni successive tramite il Microsoft Store

Impatto: l'apertura di un file PDF dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-9876: Mickey Jin di Trend Micro

libxml2

Disponibile per: Windows 10 e versioni successive tramite il Microsoft Store

Impatto: l'elaborazione di un contenuto web dannoso può causare l'esecuzione di codice.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-27917: rilevato da OSS-Fuzz

libxml2

Disponibile per: Windows 10 e versioni successive tramite il Microsoft Store

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow dei numeri interi è stato risolto mediante una migliore convalida degli input.

CVE-2020-27911: rilevato da OSS-Fuzz

libxml2

Disponibile per: Windows 10 e versioni successive tramite il Microsoft Store

Impatto: l'elaborazione di un file pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-9981: rilevato da OSS-Fuzz

SQLite

Disponibile per: Windows 10 e versioni successive tramite il Microsoft Store

Impatto: un malintenzionato collegato in remoto può causare una negazione del servizio.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2020-13434

CVE-2020-13435

SQLite

Disponibile per: Windows 10 e versioni successive tramite il Microsoft Store

Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-13630

SQLite

Disponibile per: Windows 10 e versioni successive tramite il Microsoft Store

Impatto: un utente malintenzionato remoto può causare una perdita di memoria.

Descrizione: un problema di divulgazione delle informazioni è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-9849

SQLite

Disponibile per: Windows 10 e versioni successive tramite il Microsoft Store

Impatto: una query SQL dannosa può causare un danneggiamento dei dati.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2020-13631

WebKit

Disponibile per:

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-9951: Marcin “Icewall” Noga di Cisco Talos

CVE-2020-27918: un ricercatore anonimo

WebKit

Disponibile per: Windows 10 e versioni successive tramite il Microsoft Store

Impatto: l'elaborazione di un contenuto web dannoso può causare l'esecuzione di codice.

Descrizione: un problema di scrittura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-9983: zhunki

WebKit

Disponibile per: Windows 10 e versioni successive tramite il Microsoft Store

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-27918: un ricercatore anonimo

CVE-2020-9947: cc in collaborazione con Zero Day Initiative di Trend Micro

CVE-2020-9951: Marcin “Icewall” Noga di Cisco Talos

Altri riconoscimenti

Safari

Ringraziamo Ryan Pickren (ryanpickren.com) per l'assistenza.

WebKit

Ringraziamo Pawel Wylecial di REDTEAM.PL, Ryan Pickren (ryanpickren.com), Tsubasa FUJII (@reinforchu) e Zhiyang Zeng (@Wester) di OPPO ZIWU Security Lab per l'assistenza.