Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
iCloud dla Windows 7.7
Wydano 8 października 2018 r.
CFNetwork
Dostępne dla: systemu Windows 7 i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4126: Bruno Keith (@bkth_) w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 30 października 2018 r.
CoreFoundation
Dostępne dla: systemu Windows 7 i nowszych
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2018-4414: brytyjska organizacja National Cyber Security Centre (NCSC)
Wpis dodano 30 października 2018 r.
CoreFoundation
Dostępne dla: systemu Windows 7 i nowszych
Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2018-4412: brytyjska organizacja National Cyber Security Centre (NCSC)
Wpis dodano 30 października 2018 r.
CoreText
Dostępne dla: systemu Windows 7 i nowszych
Zagrożenie: przetworzenie złośliwie spreparowanego pliku tekstowego może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2018-4347: Vasyl Tkachuk z Readdle
Wpis dodano 30 października 2018 r., uaktualniono 18 grudnia 2018 r.
WebKit
Dostępne dla: systemu Windows 7 i nowszych
Zagrożenie: nieoczekiwana interakcja powoduje błąd ASSERT.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.
CVE-2018-4191: wykryte przez OSS-Fuzz
WebKit
Dostępne dla: systemu Windows 7 i nowszych
Zagrożenie: element SecurityErrors z różnych źródeł zawiera źródło ramki, do której uzyskano dostęp.
Opis: ten problem rozwiązano przez usunięcie informacji o źródle.
CVE-2018-4311: Erling Alf Ellingsen (@steike)
WebKit
Dostępne dla: systemu Windows 7 i nowszych
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2018-4316: crixer, Hanming Zhang (@4shitak4) z Qihoo 360 Vulcan Team
WebKit
Dostępne dla: systemu Windows 7 i nowszych
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4299: Samuel Groβ (saelo) w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2018-4323: Ivan Fratric z Google Project Zero
CVE-2018-4328: Ivan Fratric z Google Project Zero
CVE-2018-4358: @phoenhex team (@bkth_ @5aelo @_niklasb) w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2018-4359: Samuel Groß (@5aelo)
CVE-2018-4360: William Bowling (@wcbowling)
Wpis uaktualniono 24 października 2018 r.
WebKit
Dostępne dla: systemu Windows 7 i nowszych
Zagrożenie: złośliwie spreparowana witryna internetowa może powodować nieoczekiwane zachowanie związane z obsługą różnych źródeł.
Opis: z elementami iframe występował błąd obsługi różnych źródeł. Ten błąd rozwiązano przez poprawienie mechanizmu śledzenia źródeł informacji dotyczących zabezpieczeń.
CVE-2018-4319: John Pettitt z Google
WebKit
Dostępne dla: systemu Windows 7 i nowszych
Zagrożenie: złośliwie spreparowana witryna internetowa może być w stanie wykonywać skrypty w kontekście innej witryny.
Opis: w przeglądarce Safari występował błąd umożliwiający przeprowadzenie ataku XSS (cross-site scripting). Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności adresów URL.
CVE-2018-4309: anonimowy badacz pracujący w ramach programu Zero Day Initiative firmy Trend Micro
WebKit
Dostępne dla: systemu Windows 7 i nowszych
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2018-4197: Ivan Fratric z Google Project Zero
CVE-2018-4306: Ivan Fratric z Google Project Zero
CVE-2018-4312: Ivan Fratric z Google Project Zero
CVE-2018-4314: Ivan Fratric z Google Project Zero
CVE-2018-4315: Ivan Fratric z Google Project Zero
CVE-2018-4317: Ivan Fratric z Google Project Zero
CVE-2018-4318: Ivan Fratric z Google Project Zero
WebKit
Dostępne dla: systemu Windows 7 i nowszych
Zagrożenie: złośliwie spreparowana witryna internetowa może eksfiltrować dane obrazów z zewnętrznego źródła.
Opis: w przeglądarce Safari występował błąd umożliwiający przeprowadzenie ataku XSS (cross-site scripting). Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności adresów URL.
CVE-2018-4345: Jun Kokatsu (@shhnjk)
Wpis uaktualniono 18 grudnia 2018 r.
WebKit
Dostępne dla: systemu Windows 7 i nowszych
Zagrożenie: nieoczekiwana interakcja powoduje błąd ASSERT.
Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4361: wykryte przez OSS-Fuzz
CVE-2018-4474: wykryte przez OSS-Fuzz
Wpis uaktualniono 22 stycznia 2019 r.
Dodatkowe podziękowania
SQLite
Dziękujemy za udzieloną pomoc: Andreas Kurtz (@aykay) z NESO Security Labs GmbH.
WebKit
Dziękujemy za udzieloną pomoc: Cary Hartline, Hanming Zhang z 360 VulcanTeam, Tencent Keen Security Lab w ramach programu Zero Day Initiative firmy Trend Micro i Zach Malone z CA Technologies.