Zawartość związana z zabezpieczeniami w aplikacji iCloud dla Windows 11.3

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w aplikacji iCloud dla Windows 11.3.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

iCloud dla Windows 11.3

CoreGraphics

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2020-9883: anonimowy badacz, Mickey Jin z Trend Micro

ImageIO

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-27933: Xingwei Lin (Ant-financial Light-Year Security Lab)

ImageIO

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: w openEXR występowało wiele błędów powodujących przepełnienie buforu.

Opis: rozwiązano wiele problemów w openEXR przez poprawienie procedur sprawdzania.

CVE-2020-11758: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-11759: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-11760: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-11761: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-11762: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-11763: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-11764: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-11765: Xingwei Lin (Ant-financial Light-Year Security Lab)

ImageIO

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-9871: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-9872: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-9874: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-9879: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-9936: Mickey Jin z Trend Micro

CVE-2020-9937: Xingwei Lin (Ant-financial Light-Year Security Lab)

ImageIO

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-9873: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-9938: Xingwei Lin (Ant-financial Light-Year Security Lab)

CVE-2020-9984: anonimowy badacz

ImageIO

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2020-9919: Mickey Jin z Trend Micro

ImageIO

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-9876: Mickey Jin z Trend Micro

ImageIO

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-9877: Xingwei Lin (Ant-financial Light-Year Security Lab)

ImageIO

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-9875: Mickey Jin z Trend Micro

libxml2

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML mogło spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2020-9926: wykryte przez OSS-Fuzz

WebKit

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-9894: 0011 w ramach programu Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może uniemożliwić wprowadzenie reguł Content Security Policy.

Opis: w regułach Content Security Policy występował błąd dostępu. Ten błąd naprawiono przez poprawienie ograniczeń dostępu.

CVE-2020-9915: Ayoub AIT ELMOKHTAR z Noon

WebKit

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak UXSS (universal cross site scripting).

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2020-9925: anonimowy badacz

WebKit

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2020-9893: 0011 w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2020-9895: Wen Xu z grupy SSLab uczelni Georgia Tech

WebKit

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: złośliwy atakujący mający możliwość dowolnego odczytu i zapisu może być w stanie ominąć identyfikację wskaźnika (Pointer Authentication).

Opis: rozwiązano wiele problemów przez poprawienie logiki.

CVE-2020-9910: Samuel Groß (Google Project Zero)

WebKit — wczytywanie stron

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: złośliwy atakujący może być w stanie ukryć miejsce docelowe adresu URL.

Opis: naprawiono błąd kodowania Unicode adresów URL przez poprawienie procedury zarządzania stanem.

CVE-2020-9916: Rakesh Mane (@RakeshMane10)

Inspektor www WebKit

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: skopiowanie adresu URL z Inspektora www może doprowadzić do ataku typu command injection.

Opis: w Inspektorze www występował błąd powodujący atak typu command injection. Ten problem rozwiązano przez poprawienie procedury anulowania.

CVE-2020-9862: Ophir Lojkine (@lovasoa)

Dodatkowe podziękowania

ImageIO

Dziękujemy za udzieloną pomoc: Xingwei Lin z Ant-financial Light-Year Security Lab.