Zawartość związana z zabezpieczeniami w aplikacji iCloud dla Windows 10.9.2

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w aplikacji iCloud dla Windows 10.9.2.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

iCloud dla Windows 10.9.2

ImageIO

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-3826: Samuel Groß z Google Project Zero

libxml2

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML mogło spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury sprawdzania poprawności rozmiaru.

CVE-2020-3846: Ranier Vilela

WebKit

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak UXSS (universal cross site scripting).

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2020-3867: anonimowy badacz

WebKit

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2020-3825: Przemysław Sporysz z Euvic

CVE-2020-3868: Marcin Towalski z Cisco Talos

WebKit

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: złośliwa witryna internetowa może spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd podatności na atak typu „odmowa usługi” przez poprawienie procedury obsługi pamięci.

CVE-2020-3862: Srikanth Gatta z Google Chrome

WebKit

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może ujawnić witryny odwiedzone przez użytkownika.

Opis: nagłówek odnośnika HTTP może służyć do ujawnienia historii przeglądania. Ten błąd naprawiono przez obniżenie poziomu wszystkich odnośników innych firm do ich źródła.

CVE-2019-8827: Artur Janc, Krzysztof Kotowicz, Lukas Weichselbaum i Roberto Clapis z Google Security Team

WebKit — wczytywanie stron

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: kontekst obiektu DOM najwyższego poziomu mógł zostać niepoprawnie uznany za bezpieczny.

Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.

CVE-2020-3865: Ryan Pickren (ryanpickren.com)

WebKit — wczytywanie stron

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: kontekst obiektu DOM mógł nie mieć unikatowego źródła bezpieczeństwa.

Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.

CVE-2020-3864: Ryan Pickren (ryanpickren.com)