Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
iTunes 12.9 para Windows
Lançado em 12 de setembro de 2018
CFNetwork
Disponível para: Windows 7 e posterior
Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4126: Bruno Keith (@bkth_) em parceria com a Zero Day Initiative da Trend Micro
Entrada adicionada em 30 de outubro de 2018
CoreFoundation
Disponível para: Windows 7 e posterior
Impacto: um aplicativo pode obter privilégios elevados
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4414: National Cyber Security Centre (NCSC) do Reino Unido
Entrada adicionada em 30 de outubro de 2018
CoreFoundation
Disponível para: Windows 7 e posterior
Impacto: um aplicativo malicioso pode elevar privilégios
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4412: National Cyber Security Centre (NCSC) do Reino Unido
Entrada adicionada em 30 de outubro de 2018
CoreText
Disponível para: Windows 7 e posterior
Impacto: processar um arquivo de texto criado com códigos maliciosos pode resultar na execução arbitrária de códigos
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2018-4347: Vasyl Tkachuk da Readdle
Entrada adicionada em 30 de outubro de 2018 e atualizada em 10 de janeiro de 2019
WebKit
Disponível para: Windows 7 e posterior
Impacto: uma interação inesperada causa uma falha ASSERT
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação.
CVE-2018-4191: encontrado por OSS-Fuzz
WebKit
Disponível para: Windows 7 e posterior
Impacto: erros de segurança de origem cruzada incluem a origem do frame acessado
Descrição: esse problema foi resolvido com a remoção das informações sobre a origem.
CVE-2018-4311: Erling Alf Ellingsen (@steike)
WebKit
Disponível para: Windows 7 e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2018-4316: crixer, Hanming Zhang (@4shitak4) da Qihoo 360 Vulcan Team
WebKit
Disponível para: Windows 7 e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2018-4299: Samuel Groβ (saelo) em parceria com a Zero Day Initiative da Trend Micro
CVE-2018-4323: Ivan Fratric do Google Project Zero
CVE-2018-4328: Ivan Fratric do Google Project Zero
CVE-2018-4358: @phoenhex team (@bkth_ @5aelo @_niklasb) em parceria com a Zero Day Initiative da Trend Micro
CVE-2018-4359: Samuel Groß (@5aelo)
CVE-2018-4360: William Bowling (@wcbowling)
Entrada atualizada em 24 de outubro de 2018
WebKit
Disponível para: Windows 7 e posterior
Impacto: um site malicioso pode causar um comportamento inesperado de origem cruzada
Descrição: havia um problema de origem cruzada com elementos de iframe. Esse problema foi resolvido por meio de melhorias no rastreamento de origens de segurança.
CVE-2018-4319: John Pettitt do Google
WebKit
Disponível para: Windows 7 e posterior
Impacto: um site malicioso pode executar scripts no contexto de outro site
Descrição: havia um problema de transmissão de script entre sites no Safari. Esse problema foi resolvido por meio de melhorias na validação de URL.
CVE-2018-4309: um pesquisador anônimo em parceira com a Zero Day Initiative da Trend Micro
WebKit
Disponível para: Windows 7 e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2018-4197: Ivan Fratric do Google Project Zero
CVE-2018-4306: Ivan Fratric do Google Project Zero
CVE-2018-4312: Ivan Fratric do Google Project Zero
CVE-2018-4314: Ivan Fratric do Google Project Zero
CVE-2018-4315: Ivan Fratric do Google Project Zero
CVE-2018-4317: Ivan Fratric do Google Project Zero
CVE-2018-4318: Ivan Fratric do Google Project Zero
WebKit
Disponível para: Windows 7 e posterior
Impacto: um site malicioso pode extrair dados de imagem de origem cruzada
Descrição: havia um problema de transmissão de script entre sites no Safari. Esse problema foi resolvido por meio de melhorias na validação de URL.
CVE-2018-4345: Jun Kokatsu (@shhnjk)
Entrada adicionada em 10 de janeiro de 2019
WebKit
Disponível para: Windows 7 e posterior
Impacto: uma interação inesperada causa uma falha ASSERT
Descrição: um problema de consumo de memória foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4361: encontrado por OSS-Fuzz
CVE-2018-4474: encontrado por OSS-Fuzz
Entrada atualizada em 22 de janeiro de 2019
Outros reconhecimentos
SQLite
Gostaríamos de agradecer a Andreas Kurtz (@aykay) da NESO Security Labs GmbH pela ajuda.
WebKit
Gostaríamos de agradecer a Cary Hartline e Hanming Zhang da 360 Vulcan Team, Tencent Keen Security Lab em parceria com a Zero Day Initiative da Trend Micro e Zach Malone da CA Technologies pela ajuda.