Sobre o conteúdo de segurança do iCloud para Windows 7.0

Este documento descreve o conteúdo de segurança do iCloud para Windows 7.0.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

iCloud para Windows 7.0

Lançado em 25 de setembro de 2017

CFNetwork

Disponível para: Windows 7 e posterior

Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-13829: Niklas Baumstark e Samuel Gro em parceria com a Zero Day Initiative da Trend Micro

CVE-2017-13833: Niklas Baumstark e Samuel Gro em parceria com a Zero Day Initiative da Trend Micro

Entrada adicionada em 10 de novembro de 2017

ImageIO

Disponível para: Windows 7 e posterior

Impacto: processar uma imagem criada com códigos maliciosos pode causar uma negação de serviço

Descrição: havia um problema de divulgação de informações no processamento de imagens de disco. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2017-13831: Glen Carmichael

Entrada adicionada em 31 de outubro de 2017 e atualizada em 10 de novembro de 2017

libxml2

Disponível para: Windows 7 e posterior

Impacto: o processamento de um arquivo XML criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2017-9049: Wei Lei e Liu Yang da Nanyang Technological University em Cingapura

Entrada adicionada em 18 de outubro de 2018

libxml2

Disponível para: Windows 7 e posterior

Impacto: o processamento de um arquivo XML criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-7376: pesquisador anônimo

CVE-2017-5130: pesquisador anônimo

Entrada adicionada em 18 de outubro de 2018

libxml2

Disponível para: Windows 7 e posterior

Impacto: o processamento de um arquivo XML criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-9050: Mateusz Jurczyk (j00ru) do Google Project Zero

Entrada adicionada em 18 de outubro de 2018

libxml2

Disponível para: Windows 7 e posterior

Impacto: o processamento de um arquivo XML criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação.

CVE-2018-4302: Gustavo Grieco

Entrada adicionada em 18 de outubro de 2018

SQLite

Disponível para: Windows 7 e posterior

Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-7127: um pesquisador anônimo

WebKit

Disponível para: Windows 7 e posterior

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-7081: Apple

WebKit

Disponível para: Windows 7 e posterior

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan da Baidu Security Lab em parceria com a Zero Day Initiative da Trend Micro

CVE-2017-7092: Samuel Gro e Niklas Baumstark em parceria com a Zero Day Initiative da Trend Micro, Qixun Zhao (@S0rryMybad) da Qihoo 360 Vulcan Team

CVE-2017-7093: Samuel Gro e Niklas Baumstark Micro em parceria com a Zero Day Initiative da Trend Micro

CVE-2017-7094: Tim Michaud (@TimGMichaud) da Leviathan Security Group

CVE-2017-7095: Wang Junjie, Wei Lei e Liu Yang da Nanyang Technological University em parceria com a Zero Day Initiative da Trend Micro

CVE-2017-7096: Wei Yuan da Baidu Security Lab

CVE-2017-7098: Felipe Freitas do Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa e Mario Heiderich da Cure53

CVE-2017-7102: Wang Junjie, Wei Lei e Liu Yang da Nanyang Technological University

CVE-2017-7104: likemeng da Baidu Security Lab

CVE-2017-7107: Wang Junjie, Wei Lei e Liu Yang da Nanyang Technological University

CVE-2017-7111: likemeng do Baidu Security Lab (xlab.baidu.com) em parceria com a Zero Day Initiative da Trend Micro

CVE-2017-7117: lokihardt do Google Project Zero

CVE-2017-7120: chenqin (陈钦) da Ant-financial Light-Year Security Lab

WebKit

Disponível para: Windows 7 e posterior

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução universal de scripts entre sites

Descrição: havia um problema de lógica no processamento da aba principal. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2017-7089: Frans Rosén da Detectify, Anton Lopanitsyn da ONSEC

WebKit

Disponível para: Windows 7 e posterior

Impacto: cookies pertencentes a uma origem podiam ser enviados a outra

Descrição: havia um problema de permissões no processamento de cookies de um navegador. Esse problema foi resolvido deixando de retornar cookies para esquemas de URL personalizados.

CVE-2017-7090: Apple

WebKit

Disponível para: Windows 7 e posterior

Impacto: acessar um site malicioso pode levar à falsificação da barra de endereços

Descrição: um problema de interface de usuário inconsistente foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2017-7106: Oliver Paukstadt da Thinking Objects GmbH (to.com)

WebKit

Disponível para: Windows 7 e posterior

Impacto: processar conteúdo da web criado com códigos maliciosos podia resultar em um ataque de transmissão de script entre sites

Descrição: a política do cache de aplicativos podia ser aplicada de maneira inesperada.

CVE-2017-7109: avlidienbrunn

Outros reconhecimentos

WebKit

Gostaríamos de agradecer a Rayyan Bijoora (@Bijoora) da The City School, PAF Chapter pela ajuda.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: