Over de beveiligingsinhoud van iCloud voor Windows 7.7
In dit document wordt de beveiligingsinhoud van iCloud voor Windows 7.7 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging. U kunt communicatie met Apple coderen via de Apple Product Security PGP-sleutel.
Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.
iCloud voor Windows 7.7
CFNetwork
Beschikbaar voor: Windows 7 en hoger
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4126: Bruno Keith (@bkth_) in samenwerking met het Zero Day Initiative van Trend Micro
CoreFoundation
Beschikbaar voor: Windows 7 en hoger
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen met verbeterde invoervalidatie.
CVE-2018-4414: het National Cyber Security Centre (NCSC) in het Verenigd Koninkrijk
CoreFoundation
Beschikbaar voor: Windows 7 en hoger
Impact: een kwaadaardig programma kan de bevoegdheden verhogen
Beschrijving: een probleem met geheugenbeschadiging is verholpen met verbeterde invoervalidatie.
CVE-2018-4412: het National Cyber Security Centre (NCSC) in het Verenigd Koninkrijk
CoreText
Beschikbaar voor: Windows 7 en hoger
Impact: het verwerken van een kwaadwillig vervaardigd tekstbestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2018-4347: Vasyl Tkachuk van Readdle
WebKit
Beschikbaar voor: Windows 7 en hoger
Impact: een onverwachte interactie veroorzaakt een ASSERT-fout
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.
CVE-2018-4191: gevonden door OSS-Fuzz
WebKit
Beschikbaar voor: Windows 7 en hoger
Impact: cross-origin SecurityErrors bevatte de oorsprong van het geopende frame
Beschrijving: het probleem is verholpen door informatie over de oorsprong te verwijderen.
CVE-2018-4311: Erling Alf Ellingsen (@steike)
WebKit
Beschikbaar voor: Windows 7 en hoger
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.
CVE-2018-4316: crixer, Hanming Zhang (@4shitak4) van het Qihoo 360 Vulcan Team
WebKit
Beschikbaar voor: Windows 7 en hoger
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4299: Samuel Groß (saelo) in samenwerking met het Zero Day Initiative van Trend Micro
CVE-2018-4323: Ivan Fratric van Google Project Zero
CVE-2018-4328: Ivan Fratric van Google Project Zero
CVE-2018-4358: @phoenhex team (@bkth_ @5aelo @_niklasb) in samenwerking met het Zero Day Initiative van Trend Micro
CVE-2018-4359: Samuel Groß (@5aelo)
CVE-2018-4360: William Bowling (@wcbowling)
WebKit
Beschikbaar voor: Windows 7 en hoger
Impact: een schadelijke website kan onverwacht cross-origin-gedrag veroorzaken
Beschrijving: er was een cross-origin-probleem met iframe-elementen. Dit is verholpen door een verbeterde tracking van beveiligingsbronnen.
CVE-2018-4319: John Pettitt van Google
WebKit
Beschikbaar voor: Windows 7 en hoger
Impact: een schadelijke website kan mogelijk scripts uitvoeren in de context van een andere website
Beschrijving: er was een probleem met cross-site-scripting in Safari. Dit probleem is verholpen door een verbeterde validatie van URL's.
CVE-2018-4309: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van Trend Micro
WebKit
Beschikbaar voor: Windows 7 en hoger
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2018-4197: Ivan Fratric van Google Project Zero
CVE-2018-4306: Ivan Fratric van Google Project Zero
CVE-2018-4312: Ivan Fratric van Google Project Zero
CVE-2018-4314: Ivan Fratric van Google Project Zero
CVE-2018-4315: Ivan Fratric van Google Project Zero
CVE-2018-4317: Ivan Fratric van Google Project Zero
CVE-2018-4318: Ivan Fratric van Google Project Zero
WebKit
Beschikbaar voor: Windows 7 en hoger
Impact: een schadelijke website kan afbeeldingsgegevens 'cross-origin' exfiltreren
Beschrijving: er was een probleem met cross-site-scripting in Safari. Dit probleem is verholpen door een verbeterde validatie van URL's.
CVE-2018-4345: Jun Kokatsu (@shhnjk)
WebKit
Beschikbaar voor: Windows 7 en hoger
Impact: een onverwachte interactie veroorzaakt een ASSERT-fout
Beschrijving: een probleem met geheugengebruik is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4361: gevonden door OSS-Fuzz
CVE-2018-4474: gevonden door OSS-Fuzz
Aanvullende erkenning
SQLite
Met dank aan Andreas Kurtz (@aykay) van NESO Security Labs GmbH voor zijn hulp.
WebKit
Met dank aan Cary Hartline, Hanming Zhang van het 360 Vulcan Team, Tencent Keen Security Lab in samenwerking met het Zero Day Initiative van Trend Micro en Zach Malone van CA Technologies voor hun hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.