Zawartość związana z zabezpieczeniami w aplikacji iCloud dla Windows 7.5

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w aplikacji iCloud dla Windows 7.5.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

iCloud dla Windows 7.5

CoreGraphics

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2018-4194: Jihui Lu z Tencent KeenLab, Yu Zhou z Ant-financial Light-Year Security Lab

Zabezpieczenia

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: użytkownik lokalny może być w stanie odczytać trwały identyfikator urządzenia.

Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.

CVE-2018-4224: Abraham Masri (@cheesecakeufo)

Zabezpieczenia

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: użytkownik lokalny może być w stanie zmodyfikować stan pęku kluczy.

Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.

CVE-2018-4225: Abraham Masri (@cheesecakeufo)

Zabezpieczenia

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: użytkownik lokalny może wyświetlić poufne informacje użytkownika.

Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.

CVE-2018-4226: Abraham Masri (@cheesecakeufo)

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do zastąpienia plików cookie.

Opis: w procedurach obsługi plików cookie przeglądarki internetowej występował problem z uprawnieniami. Ten błąd naprawiono przez poprawienie ograniczeń.

CVE-2018-4232: anonimowy badacz, Aymeric Chaib

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.

CVE-2018-4192: Markus Gaasedelen, Amy Burnett i Patrick Biernat z Ret2 Systems, Inc w ramach programu Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2018-4214: wykryte przez OSS-Fuzz

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4204: wykryte przez OSS-Fuzz, Richard Zhu (fluorescence) w ramach programu Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2018-4246: wykryte przez OSS-Fuzz

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2018-4200: Ivan Fratric z Google Project Zero

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4201: anonimowy badacz

CVE-2018-4218: natashenka z Google Project Zero

CVE-2018-4233: Samuel Gross (@5aelo) w ramach programu Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do sfałszowania paska adresu.

Opis: usunięto błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.

CVE-2018-4188: YoKo Kho (@YoKoAcc) z Mitra Integrasi Informatika, PT

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować ujawnienie poufnych danych.

Opis: podczas pobierania obrazów maski CSS były nieoczekiwanie wysyłane poświadczenia. Ten błąd naprawiono przez zastosowanie metody pobierania obsługującej protokół CORS.

CVE-2018-4190: Jun Kokatsu (@shhnjk)

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2018-4199: Alex Plaskett, Georgi Geshev i Fabi Beterke z firmy MWR Labs w ramach programu Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla: systemu Windows 7 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2018-4222: natashenka z Google Project Zero