Zawartość związana z zabezpieczeniami w aplikacji iCloud dla Windows 11.5

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w aplikacji iCloud dla Windows 11.5.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

iCloud dla Windows 11.5

CoreText

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: przetworzenie złośliwie spreparowanego pliku tekstowego może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2020-9999: Apple

Foundation

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: użytkownik lokalny może być w stanie odczytywać dowolne pliki.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2020-10002: James Hutchins

ImageIO

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-9961: Xingwei Lin z Ant Security Light-Year Lab

ImageIO

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-27912: Xingwei Lin z Ant Security Light-Year Lab

ImageIO

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-9876: Mickey Jin z Trend Micro

libxml2

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2020-27917: wykryte przez OSS-Fuzz

libxml2

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-27911: wykryte przez OSS-Fuzz

libxml2

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2020-9981: wykryte przez OSS-Fuzz

SQLite

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2020-13434

CVE-2020-13435

SQLite

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: osoba atakująca zdalnie może spowodować wykonanie dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2020-13630

SQLite

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: osoba atakująca zdalnie może ujawnić zawartość pamięci.

Opis: usunięto błąd dotyczący ujawniania pamięci przez poprawienie mechanizmu zarządzania stanem.

CVE-2020-9849

SQLite

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: złośliwie spreparowane zapytanie SQL może doprowadzić do uszkodzenia danych.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2020-13631

WebKit

Dostępne dla:

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2020-9951: Marcin „Icewall” Noga z Cisco Talos

CVE-2020-27918: anonimowy badacz

WebKit

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-9983: zhunki

WebKit

Dostępne dla: systemu Windows 10 i nowszych za pośrednictwem Microsoft Store

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2020-27918: anonimowy badacz

CVE-2020-9947: cc w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2020-9951: Marcin „Icewall” Noga z Cisco Talos

Dodatkowe podziękowania

Safari

Dziękujemy za udzieloną pomoc: Ryan Pickren (ryanpickren.com).

WebKit

Dziękujemy za udzieloną pomoc: Paweł Wylecial z REDTEAM.PL, Ryan Pickren (ryanpickren.com), Tsubasa FUJII (@reinforchu), Zhiyang Zeng(@Wester) z OPPO ZIWU Security Lab.