Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
iTunes 12.10.1 dla systemu Windows
Wydano 7 października 2019 r.
CoreCrypto
Dostępne dla: systemu Windows 7 i nowszych
Zagrożenie: przetworzenie dużej ilości danych wejściowych mogło doprowadzić do ataku typu „odmowa usługi”.
Opis: rozwiązano problem z podatnością na atak typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8741: Nicky Mouha z NIST
Wpis dodano 29 października 2019 r.
CoreMedia
Dostępne dla: systemu Windows 7 i nowszych
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2019-8825: wykryte przez GWP-ASan w przeglądarce Google Chrome
Wpis dodano 29 października 2019 r.
Foundation
Dostępne dla: systemu Windows 7 i nowszych
Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8746: natashenka i Samuel Groß z Google Project Zero
Wpis dodano 29 października 2019 r.
libxml2
Dostępne dla: systemu Windows 7 i nowszych
Zagrożenie: wiele błędów w bibliotece libxml2.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8749: wykryte przez OSS-Fuzz
CVE-2019-8756: wykryte przez OSS-Fuzz
Wpis dodano 29 października 2019 r.
libxslt
Dostępne dla: systemu Windows 7 i nowszych
Zagrożenie: liczne błędy w bibliotece libxslt.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8750: wykryte przez OSS-Fuzz
Wpis dodano 29 października 2019 r.
UIFoundation
Dostępne dla: systemu Windows 7 i nowszych
Zagrożenie: przetworzenie złośliwie spreparowanego pliku tekstowego może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2019-8745: riusksk z firmy VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro
WebKit
Dostępne dla: systemu Windows 7 i nowszych
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak UXSS (universal cross site scripting).
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2019-8625: Sergei Glazunov z Google Project Zero
CVE-2019-8719: Sergei Glazunov z Google Project Zero
CVE-2019-8764: Sergei Glazunov z Google Project Zero
Wpis uaktualniono 29 października 2019 r.
WebKit
Dostępne dla: systemu Windows 7 i nowszych
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8707: anonimowy badacz w ramach programu Zero Day Initiative firmy Trend Micro, cc w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8710: wykryte przez OSS-Fuzz
CVE-2019-8726: Jihui Lu z Tencent KeenLab
CVE-2019-8728: Junho Jang z LINE Security Team i Hanul Choi z ABLY Corporation
CVE-2019-8733: Sergei Glazunov z Google Project Zero
CVE-2019-8734: wykryte przez OSS-Fuzz
CVE-2019-8735: G. Geshev w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8743: zhunki z Codesafe Team, Legendsec w Qi'anxin Group
CVE-2019-8751: Dongzhuo Zhao we współpracy z ADLab z firmy Venustech
CVE-2019-8752: Dongzhuo Zhao we współpracy z ADLab z firmy Venustech
CVE-2019-8763: Sergei Glazunov z Google Project Zero
CVE-2019-8765: Samuel Groß z Google Project Zero
CVE-2019-8766: wykryte przez OSS-Fuzz
CVE-2019-8773: wykryte przez OSS-Fuzz
Wpis uaktualniono 29 października 2019 r.
WebKit
Dostępne dla: systemu Windows 7 i nowszych
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak UXSS (universal cross site scripting).
Opis: usunięto błąd sprawdzania poprawności przez poprawienie logiki sprawdzania.
CVE-2019-8762: Sergei Glazunov z Google Project Zero
Wpis dodano 18 listopada 2019 r.
Dodatkowe podziękowania
Uaktualnienia oprogramowania
Dziękujemy za udzieloną pomoc: Michael Gorelik (@smgoreli) z Morphisec (morphisec.com).
WebKit
Dziękujemy za udzieloną pomoc: MinJeong Kim z, Chungnam National University, JaeCheol Ryou z Information Security Lab, Chungnam National University w Korei Południowej, Yiğit Can YILMAZ (@yilmazcanyigit), Zhihua Yao z DBAPPSecurity Zion Lab.
Wpis uaktualniono 29 października 2019 r.