Sobre o conteúdo de segurança do iCloud para Windows 7.7

Este documento descreve o conteúdo de segurança do iCloud para Windows 7.7.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

iCloud para Windows 7.7

Lançado em 8 de outubro de 2018

CFNetwork

Disponível para: Windows 7 e posterior

Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2018-4126: Bruno Keith (@bkth_) em parceria com a Zero Day Initiative da Trend Micro

Entrada adicionada em 30 de outubro de 2018

CoreFoundation

Disponível para: Windows 7 e posterior

Impacto: um aplicativo pode obter privilégios elevados

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2018-4414: National Cyber Security Centre (NCSC) do Reino Unido

Entrada adicionada em 30 de outubro de 2018

CoreFoundation

Disponível para: Windows 7 e posterior

Impacto: um aplicativo malicioso pode elevar privilégios

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2018-4412: National Cyber Security Centre (NCSC) do Reino Unido

Entrada adicionada em 30 de outubro de 2018

CoreText

Disponível para: Windows 7 e posterior

Impacto: processar um arquivo de texto criado com códigos maliciosos pode resultar na execução arbitrária de códigos

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2018-4347: Vasyl Tkachuk da Readdle

Entrada adicionada em 30 de outubro de 2018 e atualizada em 18 de dezembro de 2018

WebKit

Disponível para: Windows 7 e posterior

Impacto: uma interação inesperada causa uma falha ASSERT

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação.

CVE-2018-4191: encontrado por OSS-Fuzz

WebKit

Disponível para: Windows 7 e posterior

Impacto: erros de segurança entre origens incluem a origem do frame acessado

Descrição: esse problema foi resolvido com a remoção das informações sobre a origem.

CVE-2018-4311: Erling Alf Ellingsen (@steike)

WebKit

Disponível para: Windows 7 e posterior

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2018-4316: crixer, Hanming Zhang (@4shitak4) da Qihoo 360 Vulcan Team

WebKit

Disponível para: Windows 7 e posterior

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.

CVE-2018-4299: Samuel Groβ (saelo) em parceria com a Zero Day Initiative da Trend Micro

CVE-2018-4323: Ivan Fratric do Google Project Zero

CVE-2018-4328: Ivan Fratric do Google Project Zero

CVE-2018-4358: @phoenhex team (@bkth_ @5aelo @_niklasb) em parceria com a Zero Day Initiative da Trend Micro

CVE-2018-4359: Samuel Groß (@5aelo)

CVE-2018-4360: William Bowling (@wcbowling)

Entrada atualizada em 24 de outubro de 2018

WebKit

Disponível para: Windows 7 e posterior

Impacto: um site malicioso pode causar um comportamento inesperado de origem cruzada

Descrição: havia um problema de origem cruzada com elementos de "iframe". Esse problema foi resolvido por meio de melhorias no rastreamento de origens de segurança.

CVE-2018-4319: John Pettitt do Google

WebKit

Disponível para: Windows 7 e posterior

Impacto: um site malicioso pode executar scripts no contexto de outro site

Descrição: havia um problema de transmissão de script entre sites no Safari. Esse problema foi resolvido por meio de melhorias na validação de URL.

CVE-2018-4309: um pesquisador anônimo em parceira com a Zero Day Initiative da Trend Micro

WebKit

Disponível para: Windows 7 e posterior

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2018-4197: Ivan Fratric do Google Project Zero

CVE-2018-4306: Ivan Fratric do Google Project Zero

CVE-2018-4312: Ivan Fratric do Google Project Zero

CVE-2018-4314: Ivan Fratric do Google Project Zero

CVE-2018-4315: Ivan Fratric do Google Project Zero

CVE-2018-4317: Ivan Fratric do Google Project Zero

CVE-2018-4318: Ivan Fratric do Google Project Zero

WebKit

Disponível para: Windows 7 e posterior

Impacto: um site malicioso pode extrair dados de imagem de origem cruzada

Descrição: havia um problema de transmissão de script entre sites no Safari. Esse problema foi resolvido por meio de melhorias na validação de URL.

CVE-2018-4345: Jun Kokatsu (@shhnjk)

Entrada atualizada em 18 de dezembro de 2018

WebKit

Disponível para: Windows 7 e posterior

Impacto: uma interação inesperada causa uma falha ASSERT

Descrição: um problema de consumo de memória foi resolvido por meio de melhorias no processamento da memória.

CVE-2018-4361: encontrado por OSS-Fuzz

Entrada atualizada em 24 de outubro de 2018

Outros reconhecimentos

SQLite

Gostaríamos de agradecer a Andreas Kurts (@aykay) da NESO Security Labs GmbH pela ajuda.

WebKit

Gostaríamos de agradecer a Cary Hartline e Hanming Zhang da 360 Vulcan Team, Tencent Keen Security Lab em parceria com a Zero Day Initiative da Trend Micro e Zach Malone da CA Technologies pela ajuda.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: