Sobre o conteúdo de segurança do iCloud para Windows 7.7

Este documento descreve o conteúdo de segurança do iCloud para Windows 7.7.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

iCloud para Windows 7.7

Lançado em 8 de outubro de 2018

WebKit

Disponível para: Windows 7 e posterior

Impacto: uma interação inesperada causa uma falha ASSERT

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação.

CVE-2018-4191: encontrado por OSS-Fuzz

WebKit

Disponível para: Windows 7 e posterior

Impacto: erros de segurança entre origens incluem a origem do frame acessado

Descrição: o problema foi resolvido com a remoção das informações sobre origem.

CVE-2018-4311: Erling Alf Ellingsen (@steike)

WebKit

Disponível para: Windows 7 e posterior

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2018-4316: crixer, Hanming Zhang (@4shitak4) da Qihoo 360 Vulcan Team

WebKit

Disponível para: Windows 7 e posterior

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.

CVE-2018-4299: Samuel Groβ (saelo) em parceria com a Zero Day Initiative da Trend Micro

CVE-2018-4323: Ivan Fratric do Google Project Zero

CVE-2018-4328: Ivan Fratric do Google Project Zero

CVE-2018-4358: equipe @phoenhex (@bkth_ @5aelo @_niklasb) em parceria com a Zero Day Initiative da Trend Micro

CVE-2018-4359: Samuel Groß (@5aelo)

CVE-2018-4360: William Bowling (@wcbowling)

Entrada atualizada em 24 de outubro de 2018

WebKit

Disponível para: Windows 7 e posterior

Impacto: um site malicioso poderia causar comportamento inesperado entre origens

Descrição: um problema de origem cruzada existia com elementos do "iframe". Esse problema foi resolvido por meio de melhorias no rastreamento de origens de segurança.

CVE-2018-4319: John Pettitt do Google

WebKit

Disponível para: Windows 7 e posterior

Impacto: um site malicioso poderia executar scripts no contexto de outro site

Descrição: havia um problema de execução de script entre sites no Safari. Esse problema foi solucionado com melhorias na validação de URL.

CVE-2018-4309: pesquisador anônimo em parceira com a Zero Day Initiative da Trend Micro

WebKit

Disponível para: Windows 7 e posterior

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2018-4197: Ivan Fratric do Google Project Zero

CVE-2018-4306: Ivan Fratric do Google Project Zero

CVE-2018-4312: Ivan Fratric do Google Project Zero

CVE-2018-4314: Ivan Fratric do Google Project Zero

CVE-2018-4315: Ivan Fratric do Google Project Zero

CVE-2018-4317: Ivan Fratric do Google Project Zero

CVE-2018-4318: Ivan Fratric do Google Project Zero

WebKit

Disponível para: Windows 7 e posterior

Impacto: um site malicioso pode extrair dados de imagem de origem cruzada

Descrição: havia um problema de execução de script entre sites no Safari. Esse problema foi solucionado com melhorias na validação de URL.

CVE-2018-4345: pesquisador anônimo

WebKit

Disponível para: Windows 7 e posterior

Impacto: uma interação inesperada causa uma falha ASSERT

Descrição: um problema de consumo de memória foi resolvido por meio de melhorias no processamento da memória.

CVE-2018-4361: encontrado por OSS-Fuzz

Entrada atualizada em 24 de outubro de 2018

Outros reconhecimentos

SQLite

Gostaríamos de agradecer Andreas Kurts (@aykay) da NESO Security Labs GmbH pela assistência.

WebKit

Gostaríamos de agradecer Cary Hartline, Hanming Zhang da equipe 360 Vuclan, Tencent Keen Security Lab em parceria com a Zero Day Initiative da Trend Micro e Zach Malone da CA Technologies pela assistência.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: