Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
iTunes 12.7 para Windows
Lançado em 12 de setembro de 2017
CFNetwork
Disponível para: Windows 7 e posterior
Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-13829: Niklas Baumstark e Samuel Gro em parceria com a Zero Day Initiative da Trend Micro
CVE-2017-13833: Niklas Baumstark e Samuel Gro em parceria com a Zero Day Initiative da Trend Micro
Entrada adicionada em 10 de novembro de 2017
ImageIO
Disponível para: Windows 7 e posterior
Impacto: processar uma imagem criada com códigos maliciosos pode causar uma negação de serviço
Descrição: havia um problema de divulgação de informações no processamento de imagens de disco. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2017-13831: Glen Carmichael
Entrada adicionada em 31 de outubro de 2017 e atualizada em 10 de novembro de 2017
libxml2
Disponível para: Windows 7 e posterior
Impacto: o processamento de um arquivo XML criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2017-9049: Wei Lei e Liu Yang da Nanyang Technological University em Cingapura
Entrada adicionada em 18 de outubro de 2018
libxml2
Disponível para: Windows 7 e posterior
Impacto: o processamento de um arquivo XML criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-7376: pesquisador anônimo
CVE-2017-5130: pesquisador anônimo
Entrada adicionada em 18 de outubro de 2018
libxml2
Disponível para: Windows 7 e posterior
Impacto: o processamento de um arquivo XML criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2017-9050: Mateusz Jurczyk (j00ru) do Google Project Zero
Entrada adicionada em 18 de outubro de 2018
libxml2
Disponível para: todos os modelos do Apple Watch
Impacto: o processamento de um arquivo XML criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação.
CVE-2018-4302: Gustavo Grieco
Entrada adicionada em 18 de outubro de 2018
WebKit
Disponível para: Windows 7 e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2017-7081: Apple
Entrada adicionada em 25 de setembro de 2017
WebKit
Disponível para: Windows 7 e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2017-7087: Apple
CVE-2017-7091: Wei Yuan da Baidu Security Lab em parceria com a Zero Day Initiative da Trend Micro
CVE-2017-7092: Samuel Gro e Niklas Baumstark em parceria com a Zero Day Initiative da Trend Micro, Qixun Zhao (@S0rryMybad) da Qihoo 360 Vulcan Team
CVE-2017-7093: Samuel Gro e Niklas Baumstark Micro em parceria com a Zero Day Initiative da Trend Micro
CVE-2017-7094: Tim Michaud (@TimGMichaud) da Leviathan Security Group
CVE-2017-7095: Wang Junjie, Wei Lei e Liu Yang da Nanyang Technological University em parceria com a Zero Day Initiative da Trend Micro
CVE-2017-7096: Wei Yuan da Baidu Security Lab
CVE-2017-7098: Felipe Freitas do Instituto Tecnológico de Aeronáutica
CVE-2017-7099: Apple
CVE-2017-7100: Masato Kinugawa e Mario Heiderich da Cure53
CVE-2017-7102: Wang Junjie, Wei Lei e Liu Yang da Nanyang Technological University
CVE-2017-7104: likemeng da Baidu Security Lab
CVE-2017-7107: Wang Junjie, Wei Lei e Liu Yang da Nanyang Technological University
CVE-2017-7111: likemeng do Baidu Security Lab (xlab.baidu.com) em parceria com a Zero Day Initiative da Trend Micro
CVE-2017-7117: lokihardt do Google Project Zero
CVE-2017-7120: chenqin (陈钦) da Ant-financial Light-Year Security Lab
Entrada adicionada em 25 de setembro de 2017
WebKit
Disponível para: Windows 7 e posterior
Impacto: cookies pertencentes a uma origem podiam ser enviados a outra
Descrição: havia um problema de permissões no processamento de cookies de um navegador. Esse problema foi resolvido deixando de retornar cookies para esquemas de URL personalizados.
CVE-2017-7090: Apple
Entrada adicionada em 25 de setembro de 2017
WebKit
Disponível para: Windows 7 e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos podia resultar em um ataque de transmissão de script entre sites
Descrição: a política do cache de aplicativos podia ser aplicada de maneira inesperada.
CVE-2017-7109: avlidienbrunn
Entrada adicionada em 25 de setembro de 2017
Outros reconhecimentos
WebKit
Gostaríamos de agradecer a Rayyan Bijoora (@Bijoora) da The City School, PAF Chapter pela ajuda.