Проблемы системы безопасности, устраняемые обновлением iCloud 7.20 для Windows
В этой статье описываются проблемы системы безопасности, устраняемые обновлением iCloud 7.20 для Windows.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице обновлений системы безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительные сведения о безопасности см. на странице, посвященной безопасности продуктов Apple.
iCloud 7.20 для Windows
CoreGraphics
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.
Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.
CVE-2020-9883: анонимный исследователь, Mickey Jin из Trend Micro
ImageIO
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2020-27933: XingWei Lin из Ant-Financial Light-Year Security Lab
ImageIO
Целевые продукты: Windows 7 и более поздней версии
Воздействие. В openEXR возникал ряд проблем переполнения буфера.
Описание. Ряд проблем в openEXR устранен путем улучшения проверок.
CVE-2020-11758: XingWei Lin из Ant-Financial Light-Year Security Lab
CVE-2020-11759: XingWei Lin из Ant-Financial Light-Year Security Lab
CVE-2020-11760: XingWei Lin из Ant-Financial Light-Year Security Lab
CVE-2020-11761: XingWei Lin из Ant-Financial Light-Year Security Lab
CVE-2020-11762: XingWei Lin из Ant-Financial Light-Year Security Lab
CVE-2020-11763: XingWei Lin из Ant-Financial Light-Year Security Lab
CVE-2020-11764: XingWei Lin из Ant-Financial Light-Year Security Lab
CVE-2020-11765: XingWei Lin из Ant-Financial Light-Year Security Lab
ImageIO
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2020-9871: XingWei Lin из Ant-Financial Light-Year Security Lab
CVE-2020-9872: XingWei Lin из Ant-Financial Light-Year Security Lab
CVE-2020-9874: XingWei Lin из Ant-Financial Light-Year Security Lab
CVE-2020-9879: XingWei Lin из Ant-Financial Light-Year Security Lab
CVE-2020-9936: Mickey Jin из Trend Micro
CVE-2020-9937: XingWei Lin из Ant-Financial Light-Year Security Lab
ImageIO
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2020-9873: XingWei Lin из Ant-Financial Light-Year Security Lab
CVE-2020-9938: XingWei Lin из Ant-Financial Light-Year Security Lab
CVE-2020-9984: анонимный исследователь
ImageIO
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2020-9877: XingWei Lin из Ant-Financial Light-Year Security Lab
ImageIO
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.
Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.
CVE-2020-9919: Mickey Jin из компании Trend Micro
ImageIO
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Открытие вредоносного файла PDF может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2020-9876: Mickey Jin из компании Trend Micro
ImageIO
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.
Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.
CVE-2020-9875: Mickey Jin из компании Trend Micro
libxml2
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного кода XML может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2020-9926: обнаружено с помощью инструмента OSS-Fuzz
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Злоумышленник может удаленно вызвать неожиданное завершение работы приложения или выполнение произвольного кода.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2020-9894: пользователь 0011, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может препятствовать выполнению правил обеспечения безопасности содержимого.
Описание. При выполнении правил обеспечения безопасности содержимого возникала проблема доступа. Проблема устранена путем улучшения ограничений доступа.
CVE-2020-9915: Ayoub AIT ELMOKHTAR из Noon
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению универсальных межсайтовых сценариев.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2020-9925: анонимный исследователь
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Злоумышленник может удаленно вызвать неожиданное завершение работы приложения или выполнение произвольного кода.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2020-9893: пользователь 0011, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2020-9895: Wen Xu из подразделения SSLab Технологического института Джорджии
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Злоумышленник с произвольными возможностями чтения и записи может обойти аутентификацию указателя.
Описание. Ряд проблем устранен путем улучшения логики.
CVE-2020-9910: Samuel Groß из подразделения Google Project Zero
Загрузка страниц WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Злоумышленник может скрыть место назначения URL-адреса.
Описание. Проблема с Unicode-кодированием URL-адресов устранена путем улучшенного управления состояниями.
CVE-2020-9916: Rakesh Mane (@RakeshMane10)
Веб-инспектор в WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Копирование URL-адреса из веб-инспектора может приводить к внедрению команд.
Описание. В веб-инспекторе существовала проблема внедрения команд. Проблема устранена путем улучшения алгоритма escape-последовательностей.
CVE-2020-9862: Ophir Lojkine (@lovasoa)
Дополнительные благодарности
ImageIO
Выражаем благодарность за помощь Синвэю Лину (Xingwei Lin) из Ant-Financial Light-Year Security Lab.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.