Zawartość związana z zabezpieczeniami w aplikacji iCloud dla Windows 7.11

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w aplikacji iCloud dla Windows 7.11.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

iCloud dla Windows 7.11

CoreCrypto

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2019-8542: anonimowy badacz

iTunes

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: uruchomienie instalatora aplikacji iTunes w niezaufanym katalogu może spowodować wykonanie dowolnego kodu.

Opis: w procesie instalacji aplikacji iTunes dla systemu Windows występowała sytuacja wyścigu. Ten błąd naprawiono przez poprawienie procedur obsługi stanu.

CVE-2019-6232: Stefan Kanthak (eskamation.de)

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-6201: dwfault w ramach programu ADLab firmy Venustech

CVE-2019-8518: Samuel Groß z Google Project Zero

CVE-2019-8523: Apple

CVE-2019-8524: G. Geshev w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2019-8558: Samuel Groß z Google Project Zero

CVE-2019-8559: Apple

CVE-2019-8563: Apple

CVE-2019-8638: wykryte przez OSS-Fuzz

CVE-2019-8639: wykryte przez OSS-Fuzz

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2019-8506: Samuel Groß z Google Project Zero

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2019-8535: Zhiyang Zeng (@Wester) z zespołu Tencent Blade Team

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-6201: dwfault w ramach programu ADLab firmy Venustech

CVE-2019-8518: Samuel Groß z Google Project Zero

CVE-2019-8523: Apple

CVE-2019-8524: G. Geshev w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2019-8558: Samuel Groß z Google Project Zero

CVE-2019-8559: Apple

CVE-2019-8563: Apple

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może ujawnić poufne informacje użytkownika.

Opis: w interfejsie API pobierania (fetch) występował błąd obsługi różnych źródeł. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-8515: James Lee (@Windowsrcer)

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8536: Apple

CVE-2019-8544: anonimowy badacz

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2019-7285: dwfault w ramach programu ADLab firmy Venustech

CVE-2019-8556: Apple

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: złośliwie spreparowana witryna internetowa może być w stanie wykonywać skrypty w kontekście innej witryny.

Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.

CVE-2019-8503: Linus Särud z Detectify

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może doprowadzić do ujawnienia pamięci procesowej.

Opis: usunięto błąd sprawdzania poprawności przez poprawienie logiki sprawdzania.

CVE-2019-7292: Zhunki i Zhiyi Zhang z 360 ESG Codesafe Team

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak UXSS (universal cross site scripting).

Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.

CVE-2019-8551: Ryan Pickren (ryanpickren.com)

Instalator dla systemu Windows

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: uruchomienie instalatora aplikacji iCloud w niezaufanym katalogu może spowodować wykonanie dowolnego kodu.

Opis: w procesie instalacji aplikacji iCloud dla systemu Windows występowała sytuacja wyścigu. Ten błąd naprawiono przez poprawienie procedur obsługi stanu.

CVE-2019-6236: Stefan Kanthak (eskamation.de)

Dodatkowe podziękowania

Safari

Dziękujemy za udzieloną pomoc: Nikhil Mittal (@c0d3G33k) z Payatu Labs (payatu.com), Ryan Pickren (ryanpickren.com).

WebKit

Dziękujemy za udzieloną pomoc: Andrey Kovalev z Yandex Security Team.